====== Nginx ======
===== Activer HSTS =====
Insérer dans /etc/nginx/nginx.conf : <code>add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;</code>

===== Configuration HTTPS =====

Ciphers utilisés par défauts par Nginx : <code>
Utilisation uniquement des ciphers de haut niveau (avec clés supérieures à 128bits) avec exclusion du MD5 et des ciphers n'apportant pas d'authentification.
ssl_ciphers HIGH:!aNULL:!MD5;
</code>
Détail des ciphers OpenSSL : [[https://www.openssl.org/docs/manmaster/man1/openssl-ciphers.html]]
===== HTTP Basic Authentication =====
Doc pour mettre en place la basic authentication : [[https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-http-basic-authentication/]]

<WRAP center round important 60%>
Ne pas mettre directement le fichier .htpasswd à la racine du /home/user mais dans un sous-dossier (ex : /home/user/etc/.htpasswd)
</WRAP>


<WRAP center round important 60%>
Penser à faire un systemctl reload nginx après ajout ou modification du fichier .htpasswd
</WRAP>

===== Configuration reverse proxy docker =====
<code>
server {
    listen 80;
    server_name example.org;
    return 301 https://$host$request_uri;
}

server {
  listen 443 ssl http2;
  server_name example.org;
  ssl_certificate /etc/ssl/example.org.pem;
  ssl_certificate_key /etc/ssl/example.org.pem;

  location / {
    proxy_pass  http://127.0.0.1:8080;
  }
}
</code>