Je viens d'installer un certificat SSL de Let's Encrypt sur l'un de mes domaines. Tout allait bien, icône de verrou vert sur Chrome. Mais juste pour être sûr, j'ai vérifié le domaine sur ssllabs.com. Et à ma grande surprise, il a la pire note, un F. Il semble que mon serveur soit vulnérable à la vulnérabilité OpenSSL CCS (CVE-2014-0224).
Mes serveurs fonctionnent sous Ubuntu 14.04. J'ai essayé de mettre à jour les paquets et d'installer une nouvelle version d'OpenSSL, mais je n'en ai trouvé aucun, je l'ai donc construite à partir des sources. Mais maintenant que j'ai la dernière version, je ne vois aucune différence lorsque je vérifie le domaine sur SSLLabs, il est toujours classé F.
Que dois-je faire pour résoudre cette vulnérabilité une fois pour toutes?
Merci.
Vous pouvez vérifier si votre SSL est corrigé par rapport à la vulnérabilité OpenSSL CCS (CVE-2014-0224):
Sudo apt-get changelog openssl | grep CVE-2014-0224
Si aucun résultat n'est affiché, votre serveur doit être mis à jour! Procédez comme suit:
Sudo apt-get update
Sudo apt-get install openssl libssl-dev
Sudo openssl version -a
Si vous obtenez les résultats du journal des modifications ou que les deux fichiers openssl + libssl-dev sont à jour, c'est probablement parce que vous n'avez pas redémarré. Lors de la mise à jour de LibSSL, un redémarrage est nécessaire. Procédez comme suit:
Sudo reboot now
ou utilisez votre console de serveur pour le faire.