Tout le monde semble parler de la vulnérabilité de POODLE aujourd'hui. Et tout le monde recommande de désactiver SSLv3 dans Apache en utilisant la directive de configuration suivante:
SSLProtocol All -SSLv2 -SSLv3
au lieu de la valeur par défaut
SSLProtocol All -SSLv2
C'est ce que j'ai fait, et cela ne me fait pas plaisir - après des tests répétés avec divers outils ( voici un outil rapide ), je constate que SSLv3 est accepté avec joie par mon serveur.
Oui, j'ai redémarré Apache. Oui, j'ai fait un récursif grep
sur tous les fichiers de configuration, et je n'ai aucune substitution nulle part. Et non, je n'utilise pas d'ancienne version d'Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Alors, qu'est-ce qui donne? Comment désactiver vraiment SSLv3 dans Apache?