Protéger le site web
Support Wissensdatenbank
Protéger le site web
Vous souhaitez protéger votre site web contre le Cross Site Scripting ou le Phishing ? Suivez ensuite ces instructions et vérifiez si votre site web fonctionne.
1. Dans l’administration de l’hébergement, activez HSTS [1] et OCSP [2] dans les paramètres SSL. 
2. Créez maintenant un .htaccess dans votre répertoire de domaine principal et ajoutez le code suivant:
#FireStorm Security Headers <IfModule mod_headers.c> Header set X-Content-Type-Options nosniff Header set X-Frame-Options "SAMEORIGIN" Header set Referrer-Policy "no-referrer" Header set Permissions-Policy "fullscreen=(), geolocation=()" Header set X-XSS-Protection "1; mode=block" </IfModule>
Si vous voulez bloquer tout ce qui est externe, sauf musterdomain.ch et externedomain.tld :
#FireStorm Security Headers <IfModule mod_headers.c> Header set X-Content-Type-Options nosniff Header set X-Frame-Options "SAMEORIGIN" Header set Referrer-Policy "no-referrer" Header set Permissions-Policy "fullscreen=(), geolocation=()" Header set X-XSS-Protection "1; mode=block" Header set Content-Security-Policy "default-src 'self' *.musterdomain.ch *.externedomain.tld " </IfModule>
3. Connectez-vous maintenant à Plesk. Ouvrez le domaine => Paramètres d’hébergement => Paramètres d’Apache & NGINX et ajoutez la valeur suivante sous Additional Apache statements for HTTP and HTTPS :
Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
4. Si vous consultez votre site web, vous devriez obtenir la plus haute récompense au lien suivant : https://securityheaders.com/.
5. Vérifiez maintenant si tout fonctionne toujours correctement sur votre site web.
Activation de DANE
Nous recommandons un certificat SSL statique pour DANE, qui doit être acheté sur notre site web. Le processus doit être répété à chaque changement de certificat !
1. Ouvrez votre site web. Cliquez sur la clé en haut de la barre d’adresse, puis sur Informations sur le certificat. Cliquez sur “Détails => Copier dans le fichier….”. Maintenant, enregistrez le fichier sous Base-64 encoded x.509 (.cer) fichier.
2. Ouvrez maintenant le site https://www.huque.com/bin/gen_tlsa et remplissez le formulaire comme suit:
3. Ouvrez maintenant l’administration DNS de votre domaine et transférez les données générées précédemment comme dans l’exemple. Créez une nouvelle entrée à cette fin :
Name: _433._tcp.firestorm.ch
Typ: TLSA
TTL: 600
RDATA: 3
RDATA: 3
RDATA: 1
RDATA: 2017d273428f5e7e0ba….
Ajoutez une autre entrée pour chaque système stocké comme serveur MX. Par exemple _25._tcp.mail.musterdomain.ch si votre serveur de messagerie MX est mail.musterdomain.ch. Veuillez vous assurer que le serveur de messagerie répond également au même certificat.
4. CAA, restreindre les émetteurs de certificats.
N’autorisez que les émetteurs de certificats que vous avez explicitement autorisés. Pour ce faire, ouvrez le Gestionnaire DNS et ajoutez la règle suivante :
Exemple pour autoriser Let’s Encrypt :
Exemple pour autoriser Sectigo :
Activer MTA-STS
1. Créez le fichier suivant dans le FileManager avec le contenu suivant (Veuillez faire correspondre patterndomain.ch avec votre propre domaine) :
https://mta-sts.musterdomain.ch/.well-known/mta-sts.txt
version: STSv1 mode: testing mx: mail.musterdomain.ch max_age: 86400
2. Créez maintenant une nouvelle entrée DNS avec la valeur suivante :
Name: _mta-sts.musterdomain.ch
Typ: TXT
TTL: 600
RDATA: v=STSv1; id=jhghsdfkjh2hjrf7u;
Remplacez jhghsdfkjh2hjrf7u par votre propre clé unique. Dès que le certificat change, vous devez changer l’ID !
3. Maintenant, vérifiez votre site web à hardenize.com. Le résultat peut ressembler à ceci :
IMPORTANT :
Si le SSL pour *.musterdomain.ch est modifié, les entrées TLSA doivent être ajustées et il faut s’assurer que tous les serveurs de messagerie MX enregistrés ont le nouveau certificat SSL installé. Ensuite, un nouvel ID doit être défini dans le fichier https://mta-sts.musterdomain.ch/.well-known/mta-sts.txt.