sécurité des webapps

Serveurs web Une partie des attaques web peuvent être bloquées en utilisant des mécanismes implémentés dans les navigateurs et activés du coté des serveurs web, reverse proxy (Nginx) ou certains CDNs (Akamai Cloudflare etc.) voir la liste par MDN. Dotnet Core l’ajout des en-têtes de sécurité se fait simplement grâce aux middlewares via context.Response.Headers.Add( )

Let’s Encrypt: les certificats SSL/TLS gratuits

Let’s Encrypt est une autorité de certification 🔐(CA en anglais) qui délivre plus de 50% des certificats SSL dans le monde.
Let’s Encrypt est gérée par l’ISRG qui est sponsorisé par quelques mastodontes du web tel que Mozilla, Akamai, Cisco, EFF.

Let’s Encrypt présente la particularité de fournir gratuitement 🎉 un système automatisé de délivrance de certificats SSL (pour info SSL = TLS), et pour cela l’ISRG a développé le protocole ACME  qui est exploité par le CLI Certbot (développé par l’EFF) qui va nous permettre de récupérer et installer les certificats SSL facilement!

Installer Certbot

Le script certbot (ou certbot-auto ou letsencrypt 💀) est donc l’outil que nous allons utiliser pour gérer (obtenir, renouveller ou révoquer) les certificats SSL Let’s Encrypt sur notre serveur Web (certbot n’est dispo que sur les Unix/Linux actuellement).

Pour l’installer suivre la procédure propre à chaque système, identifier notre système et versions par :