Valider un site web
Voilà. Votre site web tout neuf est enfin prêt. Tout est en place. Sur votre navigateur, tout s’affiche bien.
Mais est-il bien paramétré et présente-t-il un bon niveau de sécurité ?
Pour répondre à ces différentes questions, un certain nombre d’outils en ligne permettent d’auditer votre système à distance pour savoir où vous en êtes.
Attention, je ne parle ici que de la sécurité visible de l’extérieur. N’oubliez pas qu’il y a aussi beaucoup à faire pour sécuriser votre serveur de l’intérieur (pare-feu, SElinux, AppArmor, paramètres systèmes, et cætera).
Vérifications du site
Techniques de sécurité
Hardenize offre une vision globale des techniques de sécurité utilisé par le site. Que ce soit au niveau DNS, chiffrement, ou courrier. L’analyse est relativement détaillée, et permet d’identifier rapidement les paramètres manquants.
L’observatoire de Mozilla
L’observatoire de Mozilla regroupe des validations des en-têtes, et la synthèse des analyses de sécurité d’autres sites.
https://observatory.mozilla.org/
Utilisation de technologies modernes
La Plateforme des standards internet des Pays-Bas permet de vérifier l’utilisation des standards récents par un site web ou un serveur de messagerie.
Ce site à l’avantage d’offrir une approche globale, en faisant des vérifications couvrant différent domaines (DNS, IPv6, chiffrement).
DNS
Le DNS est la brique de base de votre serveur. Sans DNS, aussi bon et efficace que soit celui-ci, vous aurez des problèmes. De plus, le DNS peut améliorer la sécurité d’un site ou d’une serveur de messagerie.
Zonemaster, l’outil de vérification de l’AFNIC et de l’IIS
Zonemaster vérifie le paramétrage de base de votre infrastructure DNS. C’est l’outil à utiliser en priorité après toute grosse modification.
DNS Spy, le service de validation DNS
DNS Spy vérifie non seulement le paramétrage de base de votre DNS, il vérifie également les entrées plus avancées comme DMARC, SPF, CAA…
De plus, DNS Spy propose un service payant de surveillance de domaines. Pour une entreprise, cela peut être bon moyen de superviser cet élément crucial de son infrastructure.
En-têtes HTTP
Les en-têtes renvoyés par votre serveur web peuvent contribuer à améliorer la sécurité de votre site. Comme par exemple, la Politique de Sécurité du Contenu (Content Security Policy), qui permet de contrôler l’origine des contenus utilisés par votre site.
SecurityHeaders.io
Le service securityheaders.io de Scott Helme permet de vérifier les en-têtes de sécurités renvoyés par votre site :
Chiffrement SSL/TLS
La société Qualys propose un test en ligne très complet de validation du chiffrement TLS utilisé par votre serveur. Il vérifie la qualité du chiffrement utilisé, le certificat, la présence de vulnérabilité et la compatibilité avec différents clients.
Si vous pensez que votre site est sécurisé, faites le test, vous serez peut-être surpris…
https://www.ssllabs.com/ssltest/index.html
Si vous ne savez pas comment configurer TLS, jetez un coup d’œil au wiki de Mozilla.
Vérification de pages
Performances
Le service Web Page Test proposé par Google permet d’analyser les performances de votre site web. Ce service permettra d’identifier des insuffisances de paramétrage de votre serveur web, mais aussi d’identifier les fichiers image mal optimisés.