Générateur de configuration SSL de Mozilla

 (ssl-config.mozilla.org)
2 points par GN⁺ 2025-11-16 | 1 commentaires | Partager sur WhatsApp
  • Outil qui génère automatiquement des configurations SSL/TLS adaptées à différents logiciels serveur
  • Prend en charge plus de 20 environnements serveur, dont Apache, nginx, HAProxy et Tomcat
  • Propose trois profils de configuration MozillaModern, Intermediate et Old — pour choisir le niveau de sécurité et de compatibilité
  • Génère une configuration personnalisée en saisissant la version d’OpenSSL et la version du serveur, avec option de redirection HTTPS incluse
  • Outil pratique, relié aux directives de sécurité de Mozilla, pour mettre en place facilement une configuration serveur sûre

Aperçu

  • Le Mozilla SSL Configuration Generator est un outil web qui aide les administrateurs système à générer facilement des configurations SSL/TLS sécurisées
  • Basé sur la politique de sécurité de Mozilla et ses recommandations TLS, il génère automatiquement des scripts de configuration adaptés à chaque environnement serveur

Logiciels serveur pris en charge

  • Parmi les logiciels pris en charge figurent Apache, AWS ALB/ELB, Caddy, Coturn, Dovecot, Exim, Go, HAProxy, Jetty, lighttpd, MySQL, nginx, Oracle HTTP, Postfix, PostgreSQL, ProFTPD, Redis, Squid, stunnel, Tomcat et Traefik
  • Des modèles de configuration SSL optimisés sont fournis pour chaque serveur

Profils de configuration Mozilla

  • Modern : prend en charge TLS 1.3 et convient aux services récents qui n’ont pas besoin de compatibilité descendante
  • Intermediate : destiné aux serveurs généralistes en tenant compte de la compatibilité avec divers clients, recommandé pour la plupart des systèmes
  • Old : à utiliser uniquement lorsqu’il faut maintenir la compatibilité avec des clients très anciens

Paramètres de configuration

  • Saisissez la version du serveur et la version d’OpenSSL pour générer une configuration adaptée à l’environnement concerné
  • Inclut une fonction de redirection HTTPS et nécessite l’activation de JavaScript

Références et ressources

À lire aussi

1 commentaires

 
GN⁺ 2025-11-16
Commentaires sur Hacker News

  • Dans le même esprit, il existe des outils comme SecurityHeaders pour scanner les en-têtes de sécurité d’un site web, SSL Labs Test pour valider une configuration TLS, et testssl.sh pour scanner un site en ligne de commande
    C’est utile dans des environnements sans accès à Internet ou pour générer des rapports HTML automatisés

    • J’avais besoin de faire des scans sur un réseau interne, mais testssl.sh était trop lent, donc j’ai utilisé mon propre scanner, hello_tls
      Même avec la parallélisation et la désactivation de certaines options, il fallait au moins 20 secondes, alors que ce nouvel outil est 60 à 100 fois plus rapide
      Il n’analyse pas les vulnérabilités, mais l’objectif était d’extraire la configuration
    • En revanche, je ne suis pas d’accord avec le site sur les security headers
      Chaque en-tête a une fonction différente et, selon l’objectif du site, il y a des cas où il ne faut pas les appliquer
      Par exemple, il arrive souvent qu’un en-tête CSP soit présent mais configuré de façon en pratique inutile

  • Je ne comprends pas pourquoi on utilise encore le terme « SSL »
    J’ai l’impression qu’on oublie les avancées techniques des dix dernières années

    • Moi aussi, j’utilise « TLS », mais ce n’est pas simple
      Quand on dit à un client qu’on va configurer un certificat TLS, il arrive souvent qu’il s’inquiète en disant : « Nous, on a besoin de SSL »
      Au final, c’est un problème de notoriété. Le grand public ne connaît pas TLS, et les entreprises continuent d’utiliser SSL pour éviter la confusion
      Même la page SSL de Cloudflare a un chemin en SSL alors que le contenu parle surtout de TLS, ce qui entretient la confusion
    • SSL a été développé par Netscape dans les années 90, puis a évolué vers TLS
      Comme Netscape Navigator a mené à Mozilla, on comprend aussi pourquoi Mozilla continue d’utiliser souvent le terme SSL
    • Les technologies des dix dernières années ont produit du code énorme et complexe
      Le monde se porterait probablement mieux si 75 % des logiciels existants disparaissaient
    • Avant, SSL n’existait pas, et quand il est apparu, c’était une technologie coûteuse et impressionnante
      Ensuite, c’est devenu le nom générique du HTTP chiffré, et même si le protocole a été renommé TLS, on continue de l’appeler SSL
    • Moi aussi, je dis encore souvent SSL

  • La configuration cryptographique ne devrait pas être laissée aux développeurs d’applications ou aux ops
    L’article TLS Cipher Suites sur le blog Go vaut le détour
    Le Mozilla SSL Configuration Generator est excellent, mais en réalité c’est un outil qui ne devrait pas avoir à exister

    • La configuration cryptographique a un coût de maintenance élevé et devient progressivement inefficace avec le temps
      Des bibliothèques comme OpenSSL avaient déjà des cipher presets, et c’est étrange que le générateur ne s’appuie pas davantage dessus
      Par exemple, une combinaison comme « HIGH:!kRSA:!kEDH:!SHA1:!CAMELLIA:!ARIA » permet de conserver un bon niveau de sécurité tout en utilisant des algorithmes récents
      Ce type de configuration évite de désactiver par erreur des cipher suites puissantes comme celles basées sur ECC ou ChaCha20
      C’est aussi pour ce genre de raisons que certains serveurs ne prennent pas en charge EdDSA ou les algorithmes hybrides post-quantiques

  • C’est assez ironique d’inclure encore OCSP stapling aujourd’hui
    Les navigateurs et Let’s Encrypt ont déjà pratiquement abandonné OCSP

  • Mozilla fournit aussi un guide de configuration SSH
    Voir les recommandations de sécurité OpenSSH

  • J’aimerais qu’on ait une configuration clé en main où le développeur serveur n’ait qu’à indiquer l’année ou le niveau de sécurité (secure, medium, loose)
    Choisir des SSL cipher relève presque du cargo cult, au point qu’on ne sait pas vraiment ce qu’on fait

  • Je me suis demandé pourquoi il était recommandé de mettre SSLHonorCipherOrder sur Off

    • nginx recommande aussi Off pour la même raison
      Comme les ciphers des niveaux Modern et Intermediate sont tous sûrs, il est plus efficace de laisser le client choisir le cipher adapté à son matériel
      Le sujet est résumé dans ce commentaire d’issue et sur le wiki Mozilla

  • C’est dommage que le générateur de configuration n’ait pas d’option pour mTLS (TLS mutuel)
    Ce serait très utile dans les cas où des certificats clients sont nécessaires, mais cela a sans doute été écarté parce que c’est une fonctionnalité trop de niche

    • L’outil se concentre sur la configuration des échanges initiaux du serveur web, donc les mécanismes d’authentification sont hors périmètre
    • Gérer des certificats clients demande des connaissances avancées, comme la mise en place d’une CA, donc c’est clairement un domaine limité

  • L’entrée « AWS ELB » semble désigner le Classic Load Balancer
    Aujourd’hui, « AWS ALB » signifie Application Load Balancer, donc la terminologie prête à confusion

    • Il s’agit probablement d’une configuration qui existait avant l’arrivée d’ALB et qui n’a pas été beaucoup mise à jour

  • Ce serait bien d’avoir un outil similaire pour la configuration d’OpenSSL