Win Pro: SSL / Https Rating A+

Pour tester la sécurisation de votre site vous pouvez utiliser ce site :
https://www.ssllabs.com/ssltest/
Afin que vos résultats soient privés, veuillez cocher la case « Do not show the results on the boards » .

Une explication du Rating ce trouve ici (anglais) :
https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide

Ce qui dépend de votre IIS sera principalement les « protocoles » et les « ciphers ».
Un outil permet de configurer cela simplement (download > gui) :
https://www.nartac.com/Products/IISCrypto/

Concernant les protocoles,
Seul TLS 1.2 et 1.3 ne sont pas obsolètes.
Il est à noter que IIS ne supporte pas TLS 1.3.

Concernant les ciphers,
Diffie-Hellman est obsolète.

Une configuration correcte en 1.2 est la suivante :


Pour obtenir la note de A+, il faudra un certificat en RSA 4096 bits ou plus.
Les certificats « Let’s Encrypt » sont par défaut en RSA 2048 bits ou RSA 3072 bits ce qui limite la note de la clef respectivement à 80% ou 90%.
Plus la clef est grande plus le protocole HTTPS en sera ralenti. Ce qui est gagné en « sécurité » est perdu en rapidité.

Pour obtenir du TLS 1.3 tout en gardant votre site Asp sur du IIS, nous proposons des serveurs de reverse proxy sous Ubuntu + Apache.

Migrer votre WordPress en https

Il ne suffit pas d’activer un certificat, voici les actions à faire.

1. Installer le certificat ssl

2. Modifier l’url dans WordPress

Rendez-vous dans l’administration de votre WordPress, section Réglages > Général. Il vous faudra modifier l’url en https.

3. Modifier les urls dans la base de donnée

Nous recommandons l’utilisation de ce script gratuit en license GPLv3 :
https://interconnectit.com/products/search-and-replace-for-wordpress-databases/

4. Rediriger en https permanent

Sous Apache, la modification se fait dans le fichier de configuration via l’interface prévue à cet effet ou dans le fichier .htaccess (nous recommandons la première méthode).

Sous IIS, voici une méthode simplifié :
https://blog.rdmedias.com/iis-7-redirect-force-et-fixe-http-https
ou une méthode plus avancée :
https://aboutssl.org/iis-redirection-http-to-https/

5. Mettre à jour le fichier robot.txt

http://robots-txt.com/ressources/robots-txt-https/

6. Déclarer votre site en HTTPS sur Google Search et recharger la sitemap

A priori pas besoin car désormais google n’implique pas de modification de HTTP > HTTPS :

https://support.google.com/webmasters/answer/83106?hl=fr

7. Mettre à jour sur Google Analytics

8. Tester sur www.sslabs.com/ssltest/

IIS 7 > redirect forcé et fixe http – https

A écrire dans le web.config

 

IIS7 – Leverage Browser Caching

Afin de passer à A sous GTmetrix pour la notion de cache des images sous windows il suffit juste d’ajouter le snippet suivant dans le web.config

Ce qui donne un cache de 30 jours, largement suffisant 🙂

OLEDB 32 et 64 bits

Souci sous windows 2008 depuis la dernière MAJ Windows, on dirait que data access engine a été modifié et le connecteur OLEDB ne fonctionne plus.

Après des heures de recherche, la solution est simple au final.

  1. désinstaller tous les Microsoft Access database engine
  2. rebooter
  3. ré installer Microsoft Office database engine 2007 (trouvé version anglaise en téléchargement), c’est une version 32 bits
  4. ré installer Microsoft Office database engine 2010 (64 bits) en mode passif

Et voilà le tour est joué 🙂

Désormais,

est fonctionnel en 32 et 64 bits.

 

Excel et les droits

Souci avec un server.createObject de Excel voici deux liens qui permettront de modifier la configuration sous 2008 ou 2012 serveur :

2012 : https://social.msdn.microsoft.com/Forums/windowsdesktop/en-US/d06cfd6b-ff22-4626-a539-b341dc78054b/how-to-launch-unattended-excelexe-from-a-web-page?forum=exceldev

.2008 :  http://www.bloing.net/2011/01/how-to-make-iis7-play-nice-with-office-interop/

pour 2008, manque en info, passer le pool d’application à local system

 

Quelques pistes de connection car à priori MSDASQL ne fonctionne plus :

Testé avec ces lignes de connexion sous 2008 serveur ça fonctionne :

ou

Ce qui ne fonctionne pas (ou plus) :

 

 

IIS7 – mySQL et ASP

Sous 2012 serveur, installer le driver mysql-connector-odbc-5.3.6-winx64.msi, récupérable sur https://dev.mysql.com/downloads/connector/odbc/

NB : testé le connecteur en 32 bits, non installable sous 2012 serveur !

Ensuite passer le pool d’application en 64 bits pour faire tourner le driver en ASP.

Pour vous connecter ce sera donc :

 

SSL – désactiver les protocoles obsolètes

Disabling SSL 2.0 and 3.0 on IIS 6

  1. Open up “regedit” from the command line
  2. Browse to the following key:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
  3. Create a new REG_DWORD called “Enabled” and set the value to 0
  4. You will need to restart the computer for this change to take effect. (you can wait on this if you also need to disable the ciphers)

Refaire la manip pour SSL3.0

Disable unsecure encryption ciphers less than 128bit

  1. Open up “regedit” from the command line
  2. Browse to the following key:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56
  3. Create a new REG_DWORD called “Enabled” and set the value to 0
  4. Browse to the following key:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128
  5. Create a new REG_DWORD called “Enabled” and set the value to 0
  6. Browse to the following key:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128
  7. Create a new REG_DWORD called “Enabled” and set the value to 0
  8. Browse to the following key:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128
  9. Create a new REG_DWORD called “Enabled” and set the value to 0
  10. You will need to restart the computer for this change to take effect.

IIS – Afficher erreurs 500 détaillées en ASP

Ouvrir le fichier web.config, sans toucher l’existant rajouter ou modifier ce dernier de la sorte :

Enregistrez et le tour est joué.