Return-Path:
Les directives suivantes créent un serveur SSL qui ne communique que - selon le protocole SSLv2 et ses modes de chiffrement.
- -
- SSLProtocol -all +SSLv2
- SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP
-
Les directives suivantes ne permettent que les chiffrements de plus haut niveau :
- SSLProtocol all
- SSLCipherSuite HIGH:MEDIUM
+ SSLProtocol all -SSLv3
+ SSLCipherSuite HIGH:!ADH:!EXP:!MD5:!NULL
Cette fonctionnalité se nomme Cryptographie Transférée par Serveur - (Server Gated Cryptography - SGC) et nécessite un certificat de serveur - à identifiant global, signé par un certificat de CA spécial de chez - Verisign. Ceci permet d'activer le chiffrement fort dans les versions des - navigateurs importés des US, qui n'en avaient habituellement pas la - possibilité (à cause des restrictions à l'exportation imposées par les - US).
-Quand un navigateur se connecte avec un mode de chiffrement importé - des US, le serveur présente son certificat à identifiant global. le - navigateur le vérifie, et peut ensuite faire évoluer sa suite de - chiffrement avant que la communication HTTP ne se mette en place. Le - problème consiste à permettre au navigateur de se mettre à jour de cette - façon, mais de nécessiter encore un chiffrement fort. En d'autres termes, - nous voulons que les navigateurs démarrent une connexion soit avec - chiffrement fort, soit avec une version export du chiffrement mais que - dans ce dernier cas, le navigateur fasse évoluer sa suite de chiffrement - vers un chiffrement fort avant de démarrer la communication HTTP.
-Il est possible de parvenir à ceci de cette façon:
+Avec la configuration qui suit, vous pouvez activer deux méthodes de chiffrement relativement sécurisées, et rapides :
+
- # autorise tout mode de chiffrement pour l'échange de données
- initial,
- # les navigateurs non US peuvent ainsi se mettre à jour
- via la fonctionnalité SGC
- SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
+ SSLProtocol all -SSLv3
+ SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!ADH:!EXP:!MD5:!NULL
+ SSLHonorCipherOrder on
- <Directory /usr/local/apache2/htdocs>
- # et enfin interdit l'accès à tous les navigateurs qui n'ont pas fait
- évoluer leur suite de chiffrement
- SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
- </Directory>
Ceci correspond largement à la valeur par défaut de la directive SSLCipherSuite
,
+ et représente la pratique à conseiller.
Dans ce cas bien évidemment, une directive SSLCipherSuite
au niveau du serveur principal
qui restreint le choix des suites de chiffrement aux versions les plus
@@ -159,10 +126,9 @@ accéder à une URL particulière ?<
<Location /strong/area>
# sauf pour https://hostname/strong/area/ et ses sous-répertoires
# qui exigent des chiffrements forts
- SSLCipherSuite HIGH:MEDIUM
+ SSLCipherSuite HIGH:!ADH:!EXP:!MD5:!NULL
</Location>