Cet article vous montre comment désactiver les protocoles SSL 2.0, SSL 3.0 et les anciennes versions de TLS sur votre serveur web Apache, afin de vous préparer à une configuration plus moderne et plus sûre.

Pourquoi désactiver SSL v2, SSL v3 et d'autres versions de TLS ?

SSL 2.0 et SSL 3.0 sont des versions obsolètes du protocole SSL qui ont été remplacées depuis longtemps par le protocole Transport Layer Security (TLS), plus sûr, qui offre un degré de sécurité plus élevé.
En outre, une faille de sécurité du protocole SSL 3.0, surnommée POODLE, a été découverte en 2014, permettant à un pirate de contourner complètement la sécurité du protocole SSL. Votre serveur web Apache ne devrait pas utiliser ces protocoles pour une meilleure sécurité.

Au fil du temps, les protocoles TLS v1 et TLS v1.1 sont également devenus obsolètes, il est donc judicieux de les désactiver dans votre configuration.

Si vous voulez aller plus loin, vous pouvez toujours supprimer TLS v1.2, mais au moment où nous écrivons ces lignes, nous pouvons conclure que la désactivation de TLS v1.2 risque d'entraîner des problèmes pour les navigateurs plus anciens. C'est pourquoi nous ne le recommandons pas.

Étape 1 : Trouver tous les sites SSL sur Apache

A moins que vous n'ayez besoin de modifier qu'un seul site, auquel cas vous pouvez simplement ouvrir le fichier virtual hosts dont vous avez besoin, essayez de trouver tous les sites SSL avec la commande suivante, exécutée dans le répertoire racine de votre installation Apache. Cela vous évitera également de penser que vous avez désactivé les protocoles SSL alors qu'ils sont peut-être encore activés quelque part dans la configuration d'Apache.

Gardez à l'esprit que s'ils ne sont pas explicitement désactivés, si un hôte est ignoré, les protocoles plus anciens seront chargés !
Allez dans le répertoire d'installation de votre distribution Apache et trouvez toutes les configurations qui contiennent des informations sur SSL :

grep -r SSLEngine *

Vous obtiendrez ainsi la liste de tous les blocs SSL VirtualHost que vous devez modifier.

Notez que votre répertoire d'installation d'Apache peut différer selon votre distribution. Les emplacements les plus courants sont

• /etc/httpd pour Red Hat, CentOs, Fedora et beaucoup d'autres distributions
• /etc/apache2 pour les distributions Debian et Ubuntu

Étape 2 : Modifier les hôtes virtuels

En utilisant vi ou votre éditeur de texte préféré, ajoutez ou modifiez la ligne suivante dans chaque bloc VirtualHost qui doit être mis à jour :

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Étape 3 : Redémarrer Apache

Redémarrez Apache avec l'une des commandes suivantes :

/etc/init.d/httpd restart
service httpd restart
apachectl -k restart

Informations complémentaires

Si vous souhaitez disposer d'une configuration prête à l'emploi pour Apache, nous vous recommandons vivement le générateur de configuration SSL de Mozzila.org qui vous permettra de choisir la version d'Apache, la version d'OpenSSL et vous aidera à choisir une configuration SSL ancienne (par exemple, assez dépassée), intermédiaire (implémentation plus récente) ou moderne (à la pointe de la technologie) pour votre serveur.

Plus d'informations : https://ssl-config.mozilla.org/