httpd et SSL V2

Questions relatives à la sécurité de votre système : firewall, SELinux, etc...
mioux
Messages : 5
Inscription : 24 août 2010, 11:44

httpd et SSL V2

Message par mioux » 27 septembre 2011, 11:34

Bonjour

J'avoue avoir hésité entre "applications" et "sécurité" pour le forum, mais à mon avis il a sa place ici.

J'ai un serveur sous CentOS 5, httpd est à jour, et suite à un scan d'un client, je souhaiterais désactiver SSL V2 et les algorithmes cryptographiques faibles.

Le rapport QualiGuard donne la solution au problème, à savoir modifier le fichier ssl.conf pour choisir les protocoles, et les suites cryptographiques utilisables par httpd (mod_ssl est installé).

Code : Tout sélectionner

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
J'ai donc modifié mon fichier ssl.conf, modifié ces 2 lignes et fait un reload du service httpd.

Je lance un scan nessus sur mon serveur, et celui ci m'indique que SSL V2 est toujours lancé. Comme j'ai déjà eu du cache sur les résultats, je fais le scan depuis plusieurs points d'accès, et je reteste à la main les points signalés comme posant problème, et là, je peux toujours me connecter avec SSL V2 avec OpenSSL.

Je suis certain d'avoir fait un "service httpd reload" (j'ai pas fait de restart, il y a des clients qui utilisent le canal non sécurisé, et une des applis hébergée est critique). Ça commence à légèrement me faire péter un câble, surtout que la sécurité, c'est pas mon domaine, je suis développeur, administrateur de BDD, et la sécurité, c'est un hobby à la maison d'habitude :D (non je ne teste pas la vulnérabilité du réseau wep des voisins, c'est trop facile :mrgreen: )

Est ce qu'il faut absolument redémarrer apache ? Est ce que j'ai raté quelque chose ?

PS - Pour tester je lance cette commande :

Code : Tout sélectionner

openssl s_client -ssl2 www.monserveur.com:443
je récupère bien le certificat, alors que je m'attends à une erreur.

MarbolanGos
Messages : 341
Inscription : 26 octobre 2009, 19:03

Re: httpd et SSL V2

Message par MarbolanGos » 30 septembre 2011, 12:01

Si je ne me trompe pas le restart est nécessaire dans un cas comme cela.
Par contre en quoi est-ce qu'un restart couperait le service critique ? Au pire ça va durer 5 secondes. Normalement ça ne coupe pas les connexions déjà ouvertes mais comme le protocole HTTP n'est pas comme cela je ne sais pas trop comment ça se comporte.
Le mieux serait de le tenter quand le service est le moins chargé...
http://rarebril.com/blog
http://www.smolts.org/client/show/pub_d44745d4-fc38-4d31-a94c-499e6e1838ea

Verrouillé