J'ai une nouvelle installation de la version du serveur Ubuntu 14.04.1. J'ai Apache2 avec SSL activé. Je veux désactiver SSLv3
(Je suis conscient que cette question est populaire, mais j'ai parcouru toutes les autres réponses sur plusieurs sites et je crois avoir suivi toutes les étapes suggérées.)
Quand j'utilise la commande:
nmap --script ssl-enum-ciphers -p 443 MYDOMAIN.com
Je peux voir deux séries de chiffres. Un SSLv3 et un TLSV1.0
Le module SSL est activé et son fichier de configuration est /etc/Apache2/mods-enabled/ssl.conf.
Je l'ai modifié en changeant de ligne
SSLProtocol all
à
SSLProtocol All -SSLv2 -SSLv3
Dans toute la documentation et les didacticiels Web, cela devrait désactiver SSLv3.
Je redémarre Apache avec la commande
Sudo service Apache2 restart
mais il n'y a pas de changement. SSLv3 est toujours répertorié.
J'ai essayé d'arrêter le serveur et de réexécuter la commande pour m'assurer de ne pas vérifier accidentellement le mauvais serveur. Comme prévu, le résultat change.
Quelqu'un peut-il suggérer quelle erreur je fais?.
Robert
Ma version exacte d'ubuntu:
root@xxxx:/etc/Apache2/mods-enabled# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 14.04.1 LTS
Release: 14.04
Codename: trusty
Ma version exacte d'Apache2:
root@xxxx:~# Apache2 -v
Server version: Apache/2.4.7 (Ubuntu)
Server built: Jul 22 2014 14:36:38
Ma version exacte openssl:
root@xxxx:~# openssl version
OpenSSL 1.0.1f 6 Jan 2014
Références:
http://httpd.Apache.org/docs/current/mod/mod_ssl.html#sslprotocol
J'ai trouvé que j'avais d'autres fichiers de configuration qui surchargeaient l'option.
Il était possible de trouver les fichiers en exécutant:
cd /etc/Apache2
grep -r "SSLProto" .
SSLv2 n'est plus pris en charge.
Donc
SSLProtocol All -SSLv2 -SSLv3
ne fonctionnera pas
SSLProtocol All -SSLv3
volonté
dans votre fichier de configuration Apache, utilisez les paramètres ci-dessous:
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
puis redémarrez votre Apache et vérifiez votre site à
https://www.ssllabs.com/ssltest/analyze.html?d=www.yourfancysite.com
Cela m'a donné le grade A (à partir de 2017 juillet), alors qu'avec mon réglage précédent, je n'avais que le F :)
Crédits à:
https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/