Comment désactiver SSLv3 dans Apache?

J'ai eu le même problème sur Ubuntu 14.04. Après avoir lu ceci, j'ai édité la section "SSLProtocol" dans /etc/Apache2/mods-available/ssl.conf.

• de: SSLProtocol all
• à: SSLProtocol all -SSLv2 -SSLv3 -TLSV1

Mais ça n'a pas marché. J'ai donc édité la section suivante aussi "SSLCipherSuite" dans /etc/Apache2/mods-available/ssl.conf.

• de: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
• à: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

Et maintenant ça marche maintenant pour moi.

Soit dit en passant, les suites de chiffrement ne sont pas affectées par POODLE, uniquement le protocole - mais la plupart des navigateurs acceptent une suite de chiffrement SSLv3 désactivée.

Ne l'utilisez pas pour un Mailserver! Ou vous serez (peut-être) confronté au problème de ne pas pouvoir récupérer vos courriels sur certains appareils.

Pour Ubuntu 10.04

Pour désactiver SSLv3 sur tous les vhosts actifs, vous avez besoin de l'option dans

/ etc/Apache2/mods-available/ssl.conf:

SSLProtocol all -SSLv2 -SSLv3

J'ai eu un problème similaire ce matin et j'ai trouvé un autre virtualhost activant SSLv3, donc le serveur entier répond aux connexions SSLv3.

Assurez-vous donc qu'aucun de vos hôtes n'a SSLv3 actif.

Assurez-vous que SSLCipherSuite ne contient pas contient! SSLv3. Dans ce contexte, il fait également référence à TLS1.0 et TLS1.1.

Par exemple, si votre configuration est SSLProtocol All, seul TLS1.2 sera disponible en raison de la configuration de SSLCipherSuite avec! SSLv3.

La méthode que vous utilisez est pour la nouvelle version d'Apache et Openssl. Il est possible que leur nouvelle version ne soit pas installée sur votre système, vérifiez la version installée actuelle.

Depuis SSLv2 et SSLv3 les deux sont vulnérables à certaines attaques, il serait donc préférable d'utiliser uniquement TLS. Modifiez donc votre fichier de configuration Apache comme suit,

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

ou

SSLProtocol TLSv1

Pour les utilisateurs CentOs ayant des difficultés à modifier votre fichier de configuration SSL via SSH, essayez de désactiver SSLv3 via WHM :

Étape 1: accédez à l'éditeur d'inclusion

-Connectez-vous à WHM -Ouvrez l'écran "Configuration Apache", et cliquez sur "Inclure l'éditeur"

Étape 2: Modifier les inclusions

-Sous "Pre Main Include", sélectionnez "Toutes les versions". De cette façon, votre serveur sera protégé si vous changez votre version d'Apache. Une fois sélectionné, entrez ce qui suit dans la zone de texte:

Sur CentOS/RHEL 6.x:

SSLHonorCipherOrder On
SSLProtocol -All + TLSv1 + TLSv1.1 + TLSv1.2

Sur CentOS/RHEL 5.x:

SSLHonorCipherOrder On
SSLProtocol -All + TLSv1

… Puis cliquez sur Mettre à jour .

Une fois que vous avez cliqué sur Mettre à jour, vous serez invité à redémarrer Apache; faites-le en ce moment.

source d'origine: https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/

J'ai eu un problème similaire et j'ai vérifié que j'avais tous les paramètres Apache appropriés corrects.

Cependant, ce qui m'a manqué, c'est que j'avais nginx comme proxy inverse devant Apache. Il se trouve que j'utilise également Plesk et que cela vient de leur Guide des correctifs POODLE :

Si vous exécutez Nginx, incluez la ligne suivante dans votre configuration parmi les autres directives SSL dans le /etc/nginx/nginx.conf:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;