Passer vos vhosts sécurisés de SSL V2 a SSL V3
Parce que c'est plus mieux bien...pour votre sécurité.
SSL v2 connait quelques petites failles et soucis voila pourquoi il est intéressant de passer en SSL v3 pour ceux qui ne l'ont pas encore fait.
Pas besoin de refaire vos certificats.
Cet article fait suite à ceux ci :
Éditez votre vhost Apache ou votre httpd-ssl.conf et ajustez ces quelques lignes selon votre installation :
SSLEngine on SSLProtocol -all +SSLv3 +TLSv1 SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM SSLCertificateFile "/etc/httpd/ssl/www.crt" SSLCertificateKeyFile "/etc/httpd/ssl/www.key"
Url pour ceux qui veulent comprendre toutes ces petites options bizarre : http://httpd.apache.org/docs/2.0/mod/mod_ssl.html
Vérification :
Tapez simplement ceci en console :
openssl s_client -connect localhost:443
Adapter le port et observer...
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 1024 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : DHE-RSA-AES256-SHA Session-ID: 608CE8BBAD7C2DC01BAF4F01526234BADAAB1640C5FFAAC7CB4341CA410B96A8 Session-ID-ctx: Master-Key: 9AC69DD9E48B9EED13A6765984CE4F47316C5D0BC77A3C9083B39DD76BE37CB488CD986CF646D120DECCCFB6970BFBBE Key-Arg : None Krb5 Principal: None Start Time: 1276170349 Timeout : 300 (sec) Verify return code: 18 (self signed certificate)
Voila ! une bonne chose de faites.