LeaderTelecom

Comment désactiver les versions obsolètes de SSL/TLS dans Apache

Depuis le 30 juin 2018, pour la compatibilité PCI, les propriétaires de sites doivent refuser de prendre en charge TLS 1.0. Les protocoles TLS 1.0/1.1 et SSL 2.0/3.0 sont obsolètes. Ils n’offrent pas une protection suffisante pour le transfert de données. En particulier, TLS 1.0 est vulnérable à certaines attaques. Les versions ci-dessus des protocoles doivent être supprimées dans les environnements nécessitant un niveau de sécurité élevé.

Presque tous les navigateurs modernes prennent en charge TLS 1.2. Nous allons voir ci-dessous comment désactiver les versions TLS 1.0/1.1 et SSL 2.0/3.0 dans Apache.

1. Utiliser vi (ou vim) pour modifier ssl.conf (généralement situé dans /etc/httpd/conf.d).

2. Rechercher la section « SSL Protocol Support » :

# SSL Protocol support:

# List the enable protocol levels with which clients will be able to

# connect.  Disable SSLv2 access by default:

SSLProtocol all -SSLv2 -SSLv3

3. Mettre en commentaire la ligne « SSLProtocol all -SSLv2 -SSLv3 », en ajoutant le symbole dièse devant.

4. Ajouter une ligne en dessous :

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

5. Nous avons désactivé TLS 1.0/1.1 et SSL 2.0/3.0, et étudions plus en détail SSL Cipher Suite.

# SSL Cipher Suite:

# List the ciphers that the client is permitted to negotiate.

# See the mod_ssl documentation for a complete list.

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

6. Mettre en commentaire la ligne « SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA » et ajouter ce qui suit en dessous :

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

Cette option garantit l’utilisation du chiffrement SSL uniquement avec un niveau de protection élevé.

Ajouter également la ligne suivante sous « SSLCipherSuite HIGH:!aNULL:!MD5:!3DES » :

SSLHonorCipherOrder on

Ce paramètre garantit que les préférences de chiffrement du serveur seront utilisées, et non les préférences du client.

Enregistrer le fichier et redémarrer Apache :

service httpd restart

Ensuite, tester toutes les applications qui interagissent avec votre serveur. Si vous rencontrez des problèmes, vous pouvez supprimer les commentaires (symbole dièse) et revenir à la version précédente du fichier.

Suivez les meilleures pratiques SSL avec LeaderTelecom !