Admin/Dev

< Retour à la liste
17
Août
2022

Désactiver les versions dépréciées de TLS sur un serveur web Apache

Publié par sky

Dépréciées depuis plus d'un an, il est peut être temps de désactiver les versions les plus anciennes de TLS : TLS 1.0 et TLS 1.1.

Sur le site SSLLabs, vous pourrez tester votre configuration SSL. Vous pourrez, d'abord, vous assurer que votre serveur supporte bien les versions supérieures, à savoir les 1.2 et 1.3.

Si c'est bien le cas, et que les versions 1.0 et 1.1 sont toujours actives, vous ne devriez pas obtenir un score supérieur à B. D'ailleurs SSLLabs devrait vous l'indiquer.

Si toutes les conditions sont réunies, vous pouvez alors envisager de les désactiver. Pour cela c'est assez simple.

Il suffit de trouver le fichier ou se trouve la configuration SSL du serveur. Dans mon cas, c'est un Apache HTTPD sur Debian, le fichier se trouve ici

/etc/apache2/mods-available/ssl.conf

Une fois dans le fichier, il faut trouver la ligne listant les protocoles, elle commence par  

SSLProtocol all -SSLv3

Il suffit de la compléter avec les deux protocoles dépréciés

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

d'enregistrer le fichier, puis de relancer le serveur Web, et de refaire un test sur SSLLabs en s'assurant de vider le cache avec la coche dédiée.

Qu'indique la ligne, plus précisément ?

Le début de la ligne indique au serveur web d'accepter tous les protocoles

SSLProtocol all

puis sont indiqués, les protocoles que l'on refuse

-SSLv3 -TLSv1 -TLSv1.1

Cela permet de s'assurer que le serveur web prendra bien les nouvelles versions de TLS sans que l'on ait à s'en occuper.

Si vous utilisez Let's Encrypt avec l'application certbot, il faudra peut être éditer un autre fichier qui se trouve là

/etc/letsencrypt/options-ssl-apache.conf

L'avantage de mettre la configuration directement dans Apache ou dans Let's encrypt, c'est que cela sera appliqué à tous vos virtuals hosts, peut importe le nombre. Si cependant, vous ne souhaitez appliquer le changement que sur un seul site, ou permettre d'anciennes versions de TLS sur un site précis, vous pouvez ajouter la configuration sur le vhost de votre choix.

Une fois les configurations faites, vous devriez pouvoir retrouver votre grade A sur SSLLabs.

 
 
Commentaires
Aucun commentaire pour le moment.

 

Poster un commentaire
En postant sur skymac.org, je m'engage à être courtois et à ce que mon message soit pertinent avec le sujet de l'article.
En outre, j'accepte, sans condition, que mon message soit refusé et supprimé si ces règles ne sont pas appliquées.
Valider
Ouvrir le panneau de gestion des cookies
Fermer le panneau
Ce site utilise des cookies pour assurer son bon fonctionnement. Il utilise aussi des cookies issues de services tiers permettant de proposer des fonctionnalités avancées. À tout moment, vous pouvez choisir quels services vous souhaitez activer ou refuser, afin de retirer votre consentement quant à l'utilisation des cookies.
 
Personnalisation des services
Vous êtes libre de choisir quels services vous souhaitez activer. En autorisant ces services tiers, vous acceptez le dépôt et la lecture de cookies et l'utilisation de technologies de suivi nécessaires à leur bon fonctionnement. En retirant votre consentement pour certains de ces services, certaines fonctionnalités du site peuvent ne plus fonctionner.
Navigation du site  En savoir plus
Le site écrit un cookie de session permettant son bon fonctionnement et aidant à la navigation. Il ne peut être désactivé.
Utilisation : 1 cookie, enregistre l'identifiant de la session.
Durée de vie : Le cookie est présent pendant toute la session sur le site. Il devient obsolète après 24 minutes d'inactivité.
Obligatoire
Popup Média
Afficher des vidéos depuis Yoube ou Dailymotion.
   
 
Tout accepter Tout refuser Gérer