Passer vos vhosts sécurisés de SSL V2 a SSL V3

Parce que c'est plus mieux bien...pour votre sécurité.

SSL v2 connait quelques petites failles et soucis voila pourquoi il est intéressant de passer en SSL v3 pour ceux qui ne l'ont pas encore fait.

Pas besoin de refaire vos certificats.

Cet article fait suite à ceux ci :

• Certificat ssl vite fait
• Certificat x509 pour Apache

Éditez votre vhost Apache ou votre httpd-ssl.conf et ajustez ces quelques lignes selon votre installation :

SSLEngine on
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile "/etc/httpd/ssl/www.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/www.key"

Url pour ceux qui veulent comprendre toutes ces petites options bizarre : http://httpd.apache.org/docs/2.0/mod/mod_ssl.html

Vérification :

Tapez simplement ceci en console :

openssl s_client -connect localhost:443

Adapter le port et observer...

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 608CE8BBAD7C2DC01BAF4F01526234BADAAB1640C5FFAAC7CB4341CA410B96A8
    Session-ID-ctx:
    Master-Key: 9AC69DD9E48B9EED13A6765984CE4F47316C5D0BC77A3C9083B39DD76BE37CB488CD986CF646D120DECCCFB6970BFBBE
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1276170349
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)

Voila ! une bonne chose de faites.