J'ai un serveur Web exécutant Apache 2.0 sur RHEL4. Ce serveur a récemment échoué une analyse PCI.
Raison: SSLv3.0 / TLSv1.0: faiblesse du mode CBC Solution: cette attaque a été identifiée en 2004 et dans les révisions ultérieures du protocole TLS qui contiennent un correctif. Si possible, effectuez une mise à niveau vers TLSv1.1 ou TLSv1.2. Si la mise à niveau vers TLSv1.1 ou TLSv1.2 n'est pas possible, la désactivation des chiffrements en mode CBC supprimera la vulnérabilité. L'utilisation de la configuration SSL suivante dans Apache atténue cette vulnérabilité: SSLHonorCipherOrder Sur SSLCipherSuite RC4-SHA: HIGH:! ADH
Solution simple, je pensais. J'ai ajouté les lignes à la configuration Apache et cela n'a pas fonctionné. Apparemment,
"SSLHonorCipherOrder On" ne fonctionnera que sur Apache 2.2 et versions ultérieures. J'ai essayé de mettre à niveau Apache, je suis vite tombé dans l'enfer des dépendances et il semble que je devrai mettre à niveau l'ensemble du système d'exploitation pour passer à Apache 2.2. Nous retirons ce serveur dans quelques mois donc ça ne vaut pas le coup.
La solution dit "Si la mise à niveau vers TLSv1.1 ou TLSv1.2 n'est pas possible, la désactivation des chiffrements en mode CBC supprimera la vulnérabilité."
Comment pourrais-je faire cela sur Apache 2.0? Est-ce seulement possible? Sinon, existe-t-il d'autres solutions?