Tester son site avec SSLLabs

Vous venez de configurer votre serveur Web pour qu'il fonctionne en HTTPS et vous voulez savoir si votre configuration respecte les bonnes pratiques (état de l'art). Le site SSLLabs est là pour vous aider.

SSLLabs en un mot

SSLLabs est un site qui permet de tester et de valider principalement la configuration SSL/TLS d'un serveur Web mais aussi celle des navigateurs . A la fin du test, une note allant de A+ à F vous est attribuée ainsi qu'un rapport détaillé vous permettant de remédier à certains problèmes le cas échéant.

Comment tester son site

C'est extrêmement simple, il faut vous rendre ici puis cliquer sur "Test your server"


Erreur lors de la création de la miniature : Fichier manquant


Ensuite, il vous suffit de saisir le nom domaine FQDN de votre serveur Web. Pensez à cocher "Do not show the results on the boards" si vous souhaitez que les résultats du test ne soient pas rendus public. Il ne vous reste plus qu'à cliquer sur "Submit". Bien entendu, vous pouvez tester votre propre serveur mais également n'importe quel serveur Web utilisant le protocole HTTPS.


Erreur lors de la création de la miniature : Fichier manquant


Le test se lance et il prend un certain temps. Au terme de l'analyse, une note est attribuée à votre serveur et un rapport détaillé est généré en-dessous. Celui-ci vous permettra d'obtenir des informations importantes mais également les éléments à corriger afin d'obtenir une meilleure note. A noter également, qu'une série de notifications apparait en-dessous de la note concernant la vulnérabilité de votre serveur aux dernières failles découvertes (Poodle, HearthBleed, BEAST...).


Erreur lors de la création de la miniature : Fichier manquant


Exemple de site

De nombreux sites, pour diverses raisons, ne respectent pas l'état de l'art en ce qui concerne SSL/TLS. Voici un exemple parmi tant d'autres :


Erreur lors de la création de la miniature : Fichier manquant


Contrairement à ce que l'on pourrait penser, un certain nombre de sites professionnels sont dans un cas de figure identique à l'exemple présenté ci-dessus. Ce site proposé par @aeris22 dresse une liste non-exhaustive de sites professionnels ou personnels avec leur note et leurs principales caractéristiques techniques. Ce site se base le code HTML et JavaScript de SSLLabs.

Conclusion

Après avoir lu en détail le rapport, vous serez peut-être dans l'obligation d'améliorer votre configuration afin que celle-ci supporte les bonnes versions de protocoles, certains algorithmes, ou technologies augmentant la sécurité comme PFS, HSTS. Mais pas d’inquiétude, vous êtes à la bonne adresse, vous trouverez ici-même toutes les informations nécessaires. Vous pouvez également vous référer à la documentation présente sur le site SSLLabs :

https://www.ssllabs.com/projects/documentation/index.html

Bonne configuration ! ;)