System-Linux

Aller au contenu | Aller au menu | Aller à la recherche

Passer vos vhosts sécurisés de SSL V2 a SSL V3

mod-ssl.jpeg

Parce que c'est plus mieux bien...pour votre sécurité.

SSL v2 connait quelques petites failles et soucis voila pourquoi il est intéressant de passer en SSL v3 pour ceux qui ne l'ont pas encore fait.

Pas besoin de refaire vos certificats.

Cet article fait suite à ceux ci :

Éditez votre vhost Apache ou votre httpd-ssl.conf et ajustez ces quelques lignes selon votre installation :

SSLEngine on
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile "/etc/httpd/ssl/www.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/www.key"

Url pour ceux qui veulent comprendre toutes ces petites options bizarre : http://httpd.apache.org/docs/2.0/mod/mod_ssl.html

Vérification :

Tapez simplement ceci en console :

openssl s_client -connect localhost:443

Adapter le port et observer...

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 608CE8BBAD7C2DC01BAF4F01526234BADAAB1640C5FFAAC7CB4341CA410B96A8
    Session-ID-ctx:
    Master-Key: 9AC69DD9E48B9EED13A6765984CE4F47316C5D0BC77A3C9083B39DD76BE37CB488CD986CF646D120DECCCFB6970BFBBE
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1276170349
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)

Voila ! une bonne chose de faites.

Par GanGan | le jeudi, juin 10 2010 14:30

Commentaires

1. Julien

dimanche, août 29 2010 | 20:02

Sauf que....

le format des Hello a change entre SSL2 et SSL3, et encore pas mal de serveur affiche un SSL3 avec des hello au format SSL2 (car celui ci est encore tolere dans les versions ulterieures)

donc, pour vraiment tester une negociation ssl3/tls1, il faut rajouter une peutite option au openssl s_client, comme suis:

openssl s_client -connect www.linuxfr.org:443 -no_ssl2