Apache - Désactiver SSL 2.0 et SSL 3.0

Dernière mise à jour: 12/01/2016

Cet article vous explique comment désactiver les protocoles SSL 2.0 et SSL 3.0 sur votre serveur web Apache

Pourquoi désactiver SSL v2 et SSL v3?

SSL 2.0 et SSL 3.0 sont des versions obsolètes du protocole SSL, qui ont été remplacées depuis longtemps par leur successeur plus sûr, le protocole Transport Layer Security (TLS). En outre, une faille de sécurité du protocole SSL 3.0 appelée POODLE a été découverte en 2014, qui permet de totalement contourner la sécurité de SSL. Il est important de désactiver ces deux protocoles sur votre serveur Apache.

Pas 1: Trouvez tous les sites SSL sur Apache

À moins que vous n'ayez qu'un site web à modifier - dans ce cas, ouvrez directement le fichier virtual host concerné - essayeze de trouver tous les sites web SSL avec la commande suivante, executée dans le dossier de base de votre installation Apache:

grep -r SSLEngine *

Ceci vous procurera une liste de tous blocs VirtualHost pour lesquels SSL est activé. Notez que le dossier de base d'Apache diffère selon votre distribution, les plus fréquents étant:

• /etc/httpd pour les distros Red Hat, CentOS et Fedora
• /etc/apache2 pour les distros Debian, Ubuntu et dérivées

Pas 2: Modifiez les virtual hosts

À l'aide de vi, de nano ou de votre éditeur préféré, ajouter la ligne suivante à chaque bloc VirtualHost, ou modifiez-la si elle est présente:

SSLProtocol all -SSLv2 -SSLv3

Pas 3: Relancez Apache

Redémarrez Apache avec une des commandes suivantes, selon votre distribution:

/etc/init.d/httpd restart
service httpd restart
apachectl -k restart