Meilleur classement de sécurité pour les sites Web 4D



Produit
Traduit automatiquement de Deepl

HTTPS est un protocole HTTP bien connu, recouvert d’une couche de bonté de cryptage SSL/TLS. Ce protocole est destiné à assurer la confidentialité et l’intégrité en cryptant les communications entre votre serveur et vos utilisateurs finaux, ce qui permet de protéger vos données des regards indiscrets.

4D v16 R6 va un peu plus loin : Le serveur Web 4D prend désormais en charge la fonction Perfect Forward Secrecy (PFS). Vous bénéficiez ainsi du niveau de sécurité le plus élevé pour vos communications – par défaut ! Au-delà de la protection qu’elle offre, la prise en charge de PFS augmente également les résultats des tests d’audit SSL d’un serveur 4D prêt à l’emploi, ce qui est une excellente chose pour nos clients. En particulier ceux qui travaillent avec des informations sensibles.

Sécurité par défaut accrue

Le niveau de sécurité par défaut du serveur Web 4D a été augmenté pour être conforme à certaines fonctions de sécurité réseau (App Transport Security (ATS) sur iOS, par exemple) et pour obtenir de meilleurs résultats aux tests d’audit de sécurité Web (par exemple, SSL Labs).

Pour y parvenir, nous avons :

  • activé le Perfect Forward Secrecy, et
  • désactivé l’algorithme RC4 de la liste de chiffrement.

En conséquence, le serveur Web 4D obtient maintenant un classement « A » dans le test de serveur de SSL Labs – tel quel, aucune action requise !

Perfect Forward Secrecy

Perfect Forward Secrecy (PFS) est un algorithme d’échange de clés. Il utilise les algorithmes Diffie-Hellman (DH) pour générer des clés de session de manière à ce que seules les deux parties impliquées dans la communication puissent les obtenir.

4D active automatiquement PFS lorsque TLS est activé sur le serveur. Pour cela, 4D génère un fichier« dhparams.pem » – s’il n’existe pas déjà – qui contient la clé privée DH de votre serveur. Si vous utilisez la liste de chiffres standard de 4D, PFS est prêt à être utilisé. Si vous préférez utiliser une liste de chiffrement personnalisée, vérifiez qu’elle contient des entrées avec des algorithmes ECDH ou DH.

Pour savoir si PFS est activé sur votre serveur Web, exécutez la commande WEB Get server info avec le nouvel attribut perfectForwardSecrecy. Cette commande vérifie si toutes les conditions nécessaires à l’utilisation de PFS sont remplies :

  • TLS est activé
  • La liste de chiffrement contient au moins un algorithme ECDH ou DH.
  • Le fichier« dhparams.pem » est présent et valide.
  • Tous les certificats SSL/TLS sont présents

Algorithme RC4 désactivé

L’algorithme RC4 a des problèmes de sécurité connus et est maintenant déprécié dans 4D Web Server. Tous les algorithmes RC4 ont été supprimés de la liste de chiffrement par défaut et le motif « !RC4 » a été ajouté à la liste de chiffrement mise à jour pour l’interdire explicitement.

Discuss

Tags , , ,

Fabrice Mainguené
- Product Owner -Fabrice Mainguené a rejoint l'équipe du programme 4D en novembre 2016. En tant que Product Owner, il est en charge de rédiger les user stories puis de les traduire en spécifications fonctionnelles. Son rôle est également de s'assurer que l'implémentation de la fonctionnalité livrée répond au besoin du client.Après avoir obtenu une licence en informatique au CNAM, Fabrice a rejoint une petite société d'édition de logiciels en tant que développeur Windev. Il a ensuite travaillé pour différentes entreprises dans les domaines de l'industrie et du commerce en tant que développeur Windev et web ainsi que conseiller technique sur les nouvelles fonctionnalités.