web-dev-qa-db-fra.com

Désactiver SSLv3 dans Apache2 lors d'une nouvelle installation d'ubuntu 14.04.1 Server

J'ai une nouvelle installation de la version du serveur Ubuntu 14.04.1. J'ai Apache2 avec SSL activé. Je veux désactiver SSLv3

(Je suis conscient que cette question est populaire, mais j'ai parcouru toutes les autres réponses sur plusieurs sites et je crois avoir suivi toutes les étapes suggérées.)

Quand j'utilise la commande:

nmap --script ssl-enum-ciphers -p 443 MYDOMAIN.com

Je peux voir deux séries de chiffres. Un SSLv3 et un TLSV1.0

Le module SSL est activé et son fichier de configuration est /etc/Apache2/mods-enabled/ssl.conf.

Je l'ai modifié en changeant de ligne

SSLProtocol all

à

SSLProtocol All -SSLv2 -SSLv3

Dans toute la documentation et les didacticiels Web, cela devrait désactiver SSLv3.

Je redémarre Apache avec la commande

Sudo service Apache2 restart

mais il n'y a pas de changement. SSLv3 est toujours répertorié.

J'ai essayé d'arrêter le serveur et de réexécuter la commande pour m'assurer de ne pas vérifier accidentellement le mauvais serveur. Comme prévu, le résultat change.

Quelqu'un peut-il suggérer quelle erreur je fais?.

Robert

Ma version exacte d'ubuntu:

root@xxxx:/etc/Apache2/mods-enabled# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 14.04.1 LTS
Release:    14.04
Codename:   trusty

Ma version exacte d'Apache2:

root@xxxx:~# Apache2 -v
Server version: Apache/2.4.7 (Ubuntu)
Server built:   Jul 22 2014 14:36:38

Ma version exacte openssl:

root@xxxx:~# openssl version
OpenSSL 1.0.1f 6 Jan 2014

Références:

http://httpd.Apache.org/docs/current/mod/mod_ssl.html#sslprotocol
7
Robert3452

J'ai trouvé que j'avais d'autres fichiers de configuration qui surchargeaient l'option.

Il était possible de trouver les fichiers en exécutant:

cd /etc/Apache2
grep -r "SSLProto" .
5
Robert3452

SSLv2 n'est plus pris en charge.

Donc

SSLProtocol All -SSLv2 -SSLv3

ne fonctionnera pas

SSLProtocol All -SSLv3

volonté

4
Fraterjan

dans votre fichier de configuration Apache, utilisez les paramètres ci-dessous:

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

puis redémarrez votre Apache et vérifiez votre site à

https://www.ssllabs.com/ssltest/analyze.html?d=www.yourfancysite.com

Cela m'a donné le grade A (à partir de 2017 juillet), alors qu'avec mon réglage précédent, je n'avais que le F :)

Crédits à:

https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/

1
baltasvejas