Tags pour la question fréquent:
Apache SSL SSL v2 SSL v3

Aidez-nous par évaluer cet article

Score de 0, basé sur 1 votes

Apache - Désactiver SSL 2.0 et SSL 3.0

Dernière mise à jour: 12/01/2016

Cet article vous explique comment désactiver les protocoles SSL 2.0 et SSL 3.0 sur votre serveur web Apache

SSL 2.0 et SSL 3.0 sont des versions obsolètes du protocole SSL, qui ont été remplacées depuis longtemps par leur successeur plus sûr, le protocole Transport Layer Security (TLS). En outre, une faille de sécurité du protocole SSL 3.0 appelée POODLE a été découverte en 2014, qui permet de totalement contourner la sécurité de SSL. Il est important de désactiver ces deux protocoles sur votre serveur Apache.

À moins que vous n'ayez qu'un site web à modifier - dans ce cas, ouvrez directement le fichier virtual host concerné - essayeze de trouver tous les sites web SSL avec la commande suivante, executée dans le dossier de base de votre installation Apache:

grep -r SSLEngine *

Ceci vous procurera une liste de tous blocs VirtualHost pour lesquels SSL est activé. Notez que le dossier de base d'Apache diffère selon votre distribution, les plus fréquents étant:

  • /etc/httpd pour les distros Red Hat, CentOS et Fedora
  • /etc/apache2 pour les distros Debian, Ubuntu et dérivées

À l'aide de vi, de nano ou de votre éditeur préféré, ajouter la ligne suivante à chaque bloc VirtualHost, ou modifiez-la si elle est présente:

SSLProtocol all -SSLv2 -SSLv3

Redémarrez Apache avec une des commandes suivantes, selon votre distribution:

/etc/init.d/httpd restart
service httpd restart
apachectl -k restart