Dernière mise à jour sur 27 mai 2024, 11:22:25.
Catégorie:
Tout sur les Certificats SSL
| Configuration SSL
Cet article vous montre comment désactiver les protocoles SSL 2.0, SSL 3.0 et les anciennes versions de TLS sur votre serveur web Apache, afin de vous préparer à une configuration plus moderne et plus sûre.
SSL 2.0 et SSL 3.0 sont des versions obsolètes du protocole SSL qui ont été remplacées depuis longtemps par le protocole Transport Layer Security (TLS), plus sûr, qui offre un degré de sécurité plus élevé.
En outre, une faille de sécurité de SSL 3.0, surnommée POODLE, a été découverte en 2014, permettant à un pirate de contourner complètement la sécurité SSL. Votre serveur web Apache ne devrait pas utiliser ces protocoles pour une meilleure sécurité.
Au fil du temps, les protocoles TLS v1 et TLS v1.1 sont également devenus obsolètes et obsolètes, il est donc judicieux de les désactiver dans votre configuration.
Si vous voulez aller plus loin, vous pouvez toujours supprimer TLS v1.2, mais au moment où nous écrivons ces lignes, nous pouvons conclure que la désactivation de TLS v1.2 risque d'entraîner des problèmes pour les navigateurs plus anciens. C'est pourquoi nous ne le recommandons pas.
A moins que vous n'ayez besoin de modifier qu'un seul site, auquel cas vous pouvez simplement ouvrir le fichier virtual hosts dont vous avez besoin, essayez de trouver tous les sites SSL avec la commande suivante, exécutée dans le répertoire racine de votre installation Apache. Cela vous évitera de penser que vous avez désactivé les protocoles SSL alors qu'ils sont peut-être encore activés quelque part dans la configuration d'Apache. Gardez à l'esprit que s'ils ne sont pas explicitement désactivés, si un hôte est ignoré, les protocoles plus anciens seront chargés !
Allez dans le répertoire d'installation de votre distribution Apache et trouvez toutes les configurations qui contiennent des informations sur SSL :
grep -r SSLEngine *
Vous obtiendrez ainsi la liste de tous les blocs SSL VirtualHost que vous devez modifier.
Notez que votre répertoire d'installation d'Apache peut différer selon votre distribution. Les emplacements les plus courants sont
En utilisant vi ou votre éditeur de texte préféré, ajoutez ou modifiez la ligne suivante dans chaque bloc VirtualHost qui doit être mis à jour :
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
Redémarrez Apache avec l'une des commandes suivantes :
/etc/init.d/httpd restart service httpd restart apachectl -k restart
Si vous souhaitez disposer d'une configuration prête à l'emploi pour Apache, nous vous recommandons vivement le générateur de configuration SSL de Mozzila.org qui vous permettra de choisir la version d'Apache, la version d'OpenSSL et vous aidera à choisir une configuration SSL ancienne (par exemple, assez dépassée), intermédiaire (implémentation plus récente) ou moderne (à la pointe de la technologie) pour votre serveur.
Plus d'informations : https://ssl-config.mozilla.org/
Vous n'avez pas obtenu de réponse à toutes vos questions?
Ne vous inquiétez pas, faites une demande d'assistance!