Support LeaderSSL : hors ligne :
Du lundi au vendredi 9:00 - 18:00 Heure CET

Actualités

Comment désactiver les versions obsolètes de SSL/TLS dans Apache

How to disable outdated versions of SSL TLS in Apache

Depuis le 30 juin 2018, pour la compatibilité PCI, les propriétaires de sites doivent refuser de prendre en charge TLS 1.0. Les protocoles TLS 1.0/1.1 et SSL 2.0/3.0 sont obsolètes. Ils n’offrent pas une protection suffisante pour le transfert de données. En particulier, TLS 1.0 est vulnérable à certaines attaques. Les versions ci-dessus des protocoles doivent être supprimées dans les environnements nécessitant un niveau de sécurité élevé.

Presque tous les navigateurs modernes prennent en charge TLS 1.2. Nous allons voir ci-dessous comment désactiver les versions TLS 1.0/1.1 et SSL 2.0/3.0 dans Apache.

1. Utiliser vi (ou vim) pour modifier ssl.conf (généralement situé dans /etc/httpd/conf.d).

2. Rechercher la section « SSL Protocol Support » :

# SSL Protocol support:

# List the enable protocol levels with which clients will be able to

# connect.  Disable SSLv2 access by default:

SSLProtocol all -SSLv2 -SSLv3

3. Mettre en commentaire la ligne « SSLProtocol all -SSLv2 -SSLv3 », en ajoutant le symbole dièse devant.

4. Ajouter une ligne en dessous :

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

5. Nous avons désactivé TLS 1.0/1.1 et SSL 2.0/3.0, et étudions plus en détail SSL Cipher Suite.

# SSL Cipher Suite:

# List the ciphers that the client is permitted to negotiate.

# See the mod_ssl documentation for a complete list.

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

6. Mettre en commentaire la ligne « SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA » et ajouter ce qui suit en dessous :

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

Cette option garantit l’utilisation du chiffrement SSL uniquement avec un niveau de protection élevé.

Ajouter également la ligne suivante sous « SSLCipherSuite HIGH:!aNULL:!MD5:!3DES » :

SSLHonorCipherOrder on

Ce paramètre garantit que les préférences de chiffrement du serveur seront utilisées, et non les préférences du client.

Enregistrer le fichier et redémarrer Apache :

service httpd restart

Ensuite, tester toutes les applications qui interagissent avec votre serveur. Si vous rencontrez des problèmes, vous pouvez supprimer les commentaires (symbole dièse) et revenir à la version précédente du fichier.

Suivez les meilleures pratiques SSL avec LeaderTelecom !


Êtes-vous prêt pour un essai ?


Oui ! Faisons-le gratuitement !

Vous avez des questions ?
Appelez-nous maintenant au +31 20 7640722