Bonnes pratiques de mise en place de la cryptographie

Le projet bettercrypto.org a récemment mis en ligne un long document permettant aux adiminstrateurs systèmes de mettre en place de la cryptographie sur les principaux services réseaux, en respectant l'état de l'art des bonnes pratiques.

This guide arose out of the need for system administrators to have an updated, solid, well re-searched and thought-through guide for configuring SSL, PGP, SSH and other cryptographic tools in the post-Snowden age. Triggered by the NSA leaks in the summer of 2013, many system administrators and IT security officers saw the need to strengthen their encryption settings. This guide is specifically written for these systema dministrators.

Le document donne, pour chaque logiciel, des exemples de configurations qui peuvent être directement copiés/collés et utilisés. Cette configuration comprent, généralement, l'activation du support de SSL/TLS, la cyphersuite optimale, la gestion des clés/certificats, etc.

• Webservers
• SSH
• MailServers
• VPN
• PGP/GPG-PrettyGoodPrivacy
• IPMI, ILO and others
• Instant Messaging
• Databases
• Proxys and reverse-proxys
• Kerberos

En plus de cette partie technique, une grande partie théorique termine ce document et explique les raisons des choix des cyphersuite utilisées, le fonctionnement des algorithmes de crypto, etc.

Ce document est versionné avec git et un miroir est disponible sur Github. Vous pouvez donc le forker et soumettre vos Pull-Requests pour le corriger ou l'amélirer !

Enfin, sachez qu'une initiative similaire et française, lancée par @vincib et @skhaen, donne aux administrateurs systèmes toute une méthodologie pour mettre en place HTTPS sur leurs sites Web. JeVeuxHTTPS est pour le moment en bêta, mais vous pouvez y jeter un œil et y contribuer.