Vérifier les protocoles https utilisés dans Apache

Le protocole HTTPS s'appuie sur une couche de chiffrement. Il y a une quinzaine d'années, le protocole SSL était l'un des plus répandus. Aujourd'hui, il est abandonné en raison de son faible niveau de sécurité. Toutefois, pour des raisons de compatibilité, les serveurs web continuent à proposer un chiffrement s'appuyant sur d'anciens protocoles.

Pour éviter d'utiliser les anciens protocoles, vous devez les inactiver dans la configuration d'Apache. Pour cela, éditez le fichier /etc/apache2/sites-available/default-ssl, et rajoutez les instructions suivantes dans la section <VirtualHost _default_:443> :

SSLProtocol All -SSLv2 -SSLv3

SSLHonorCipherOrder On

SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH:!RC4

SSLCompression off

La première ligne permet d'interdire les versions SSL et ne concervent que le TLS. Les deux suivantes imposent l'utilisation de l'algorithme de signature en SHA256 (par défaut, c'est le SHA-1 qui est proposé, avec une clé de 128 bits). Enfin, la dernière instruction désactive la compression SSL, qui peut être une faille de sécurité (directive normalement positionnée par défaut à off).

Un site pour tester votre protocole HTTPS : https://www.ssllabs.com/ssltest/index.html