Veuillez consulter les sections MODIFIER dans ma propre réponse; ils contiennent une explication à cette énigme .
J'essaie de désactiver RC4 pour un serveur Apache 2.2.9 fonctionnant sur un CentPS 6.5 VPS et je n'arrive pas à réussir.
Un certificat validé par l'entreprise récemment acheté est installé et les connexions SSL fonctionnent bien, mais je voulais configurer les choses aussi bien que possible, pour "renforcer la sécurité" comme le disent certains didacticiels.
En vérifiant la configuration avec Qualys SSL Labs, la page de résultats affiche "Ce serveur accepte le chiffrement RC4, qui est faible. Grade plafonné à B."
Cependant, j'ai mis cela dans ssl.conf:
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3
J'ai enregistré le script donné dans la réponse à cette question dans un fichier nommé test-ssl-ciphers.sh et changé l'adresse IP en une adresse de bouclage. C'est le résultat de ./test-ssl-ciphers.sh | grep -i "RC4"
:
Testing ECDHE-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDHE-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing AECDH-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing ECDH-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDH-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing RC4-MD5...NO (sslv3 alert handshake failure)
Testing PSK-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-SHA...NO (no ciphers available)
Testing KRB5-RC4-MD5...NO (no ciphers available)
Testing EXP-ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-RC4-MD5...NO (sslv3 alert handshake failure)
Testing EXP-KRB5-RC4-SHA...NO (no ciphers available)
Testing EXP-KRB5-RC4-MD5...NO (no ciphers available)
Chacune de ces lignes contient "NO", ce qui, selon le script, signifie que le serveur ne prend pas en charge la combinaison de chiffrement spécifiée.
De plus, la commande grep -i -r "RC4" /etc/httpd
ne me donne que le fichier ssl.conf mentionné ci-dessus.
En outre, l'exécution openssl ciphers -V
sur ma suite de chiffrement ne montre aucun chiffrement RC4, ce qui est logique compte tenu de la chaîne de configuration.
Je suis donc en quelque sorte perdu de savoir pourquoi les sites de vérification SSL me disent que "le serveur accepte RC4". Ils énumèrent même les chiffres suivants comme étant acceptés:
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
Quelqu'un at-il une explication possible? Qu'est-ce que je fais mal? Peut-être y a-t-il un autre endroit où ce support de RC4 ou "acceptation" soit configuré?
Merci.
[ EDIT ] À l'aide d'un CentOS 6.6 dans une machine virtuelle à la maison, j'ai exécuté à nouveau le script sur mon VPS en utilisant son nom de domaine au lieu de l'adresse de bouclage. Cette configuration implique que la liste des chiffres est fournie par l'instance openssl dans la machine virtuelle: je n'ai toujours pas RC4 parmi les chiffres qui donnent OUI.