Apache - Désactiver SSL 2.0, SSL 3.0 et opter pour une configuration SSL moderne et sûre.

Dernière mise à jour sur 27 mai 2024 à 11:22:25.
Catégorie: Tout sur les Certificats SSL | Configuration SSL

Apache SSL SSL v2 SSL v3

Cet article vous montre comment désactiver les protocoles SSL 2.0, SSL 3.0 et les anciennes versions de TLS sur votre serveur web Apache, afin de vous préparer à une configuration plus moderne et plus sûre.

Pourquoi désactiver SSL v2, SSL v3 et d'autres versions de TLS ?

SSL 2.0 et SSL 3.0 sont des versions obsolètes du protocole SSL qui ont été remplacées depuis longtemps par le protocole Transport Layer Security (TLS), plus sûr, qui offre un degré de sécurité plus élevé.
En outre, une faille de sécurité de SSL 3.0, surnommée POODLE, a été découverte en 2014, permettant à un pirate de contourner complètement la sécurité SSL. Votre serveur web Apache ne devrait pas utiliser ces protocoles pour une meilleure sécurité.

Au fil du temps, les protocoles TLS v1 et TLS v1.1 sont également devenus obsolètes et obsolètes, il est donc judicieux de les désactiver dans votre configuration.

Si vous voulez aller plus loin, vous pouvez toujours supprimer TLS v1.2, mais au moment où nous écrivons ces lignes, nous pouvons conclure que la désactivation de TLS v1.2 risque d'entraîner des problèmes pour les navigateurs plus anciens. C'est pourquoi nous ne le recommandons pas.

Étape 1 : Trouver tous les sites SSL sur Apache

A moins que vous n'ayez besoin de modifier qu'un seul site, auquel cas vous pouvez simplement ouvrir le fichier virtual hosts dont vous avez besoin, essayez de trouver tous les sites SSL avec la commande suivante, exécutée dans le répertoire racine de votre installation Apache. Cela vous évitera de penser que vous avez désactivé les protocoles SSL alors qu'ils sont peut-être encore activés quelque part dans la configuration d'Apache. Gardez à l'esprit que s'ils ne sont pas explicitement désactivés, si un hôte est ignoré, les protocoles plus anciens seront chargés !
Allez dans le répertoire d'installation de votre distribution Apache et trouvez toutes les configurations qui contiennent des informations sur SSL :

grep -r SSLEngine *

Vous obtiendrez ainsi la liste de tous les blocs SSL VirtualHost que vous devez modifier.

Notez que votre répertoire d'installation d'Apache peut différer selon votre distribution. Les emplacements les plus courants sont

  • /etc/httpd pour Red Hat, CentOs, Fedora et beaucoup d'autres distributions
  • /etc/apache2 pour les distributions Debian et Ubuntu

Étape 2 : Modifier les hôtes virtuels

En utilisant vi ou votre éditeur de texte préféré, ajoutez ou modifiez la ligne suivante dans chaque bloc VirtualHost qui doit être mis à jour :

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Étape 3 : Redémarrer Apache

Redémarrez Apache avec l'une des commandes suivantes :

/etc/init.d/httpd restart
service httpd restart
apachectl -k restart

Informations complémentaires

Si vous souhaitez disposer d'une configuration prête à l'emploi pour Apache, nous vous recommandons vivement le générateur de configuration SSL de Mozzila.org qui vous permettra de choisir la version d'Apache, la version d'OpenSSL et vous aidera à choisir une configuration SSL ancienne (par exemple, assez dépassée), intermédiaire (implémentation plus récente) ou moderne (à la pointe de la technologie) pour votre serveur.

Plus d'informations : https://ssl-config.mozilla.org/


Articles connexes

Paramètres des serveurs mail Kinamo (feuille de triche)

L'article suivant vous donne un résumé de la configuration et noms du serveurs mail de Kinamo. Avec la liste ici...

En savoir plus

Créer un filtre anti-spam avec le Kinamo Webmail

L'article suivant vous explique comment ajouter un filtre spécial pour mettre des messages SPAM automatiquement dans un dossier dans votre...

En savoir plus

Acheter un certificat SSL? Qu'est un certificat SSL?

Vous voulez acheter un certificat SSL? Mais, c'est quoi un certificat SSL? Et pourquoi est-ce que tous le monde dit...

En savoir plus

Besoin d'aide supplémentaire?

Vous n'avez pas obtenu de réponse à toutes vos questions?
Ne vous inquiétez pas, faites une demande d'assistance!

Sélectionnez votre langue

Toutes les langues: