Le protocole de chiffrement SSL/TLS est présent partout sur le web. Ce protocole a été victime de failles sévères (voir très sévères). Pour assurer une sécurité accrue des données passant par votre site web, il convient avant tout de s'assurer que votre site présente le moins de risque possible. Sur Debian, c'est Jessie la plus vulnérable, vérifier donc si votre serveur est à jour avec la commande

aptitude update
aptitude safe-uprade

Heartbleed est la faille qui a fait marquer le monde du SSL/TLS, car cette faille permet de révéler le contenu d'un message ou d'un envoi sécurisé (comme un numéro de CB par exemple) et le jeu de clés SSL (primaire et secondaire) sans laisser la moindre trace. Dès la publication de la faille, OpenSSL et les principales distributions Linux ont publiées un correctif. Pour s'en prémunir, il suffit de vérifier la version de openSSL.

Poodle est une faille du protocole SSLv3, a l'heure actuelle la seule méthode pour se protéger est de, tout simplement, désactiver SSLv3. Nous verrons le moyen de désactiver SSLv3 sur Apache2, dovecot et postfix, cela doit être la même procédure pour les autres services web.

Ouvrez le fichier /etc/apache2/mods-available/ssl.conf

Vérifiez et modifiez,si nécessaire, la ligne commençant par SSLProtocol all . Elle doit ressembler à ceci (située presque à la fin du fichier).

SSLProtocol all -SSLv2 -SSLv3

ensuite suffit de relancer Apache2 comme ceci :

service apache2 restart

Dans le fichier /etc/dovecot/dovecot.conf , rechercher la ligne suivante et y apportez les modifications, si nécessaire :

ssl_protocols = !SSLv2 !SSLv3

Dans le fichier /etc/mpostfix/main.cf ,vérifier la présence de cette ligne et apportez y les modifications nécessaires :

smtpd_tls_protocols = !SSLv2,!SSLv3

Pour s'en prémunir, il vous suffit de modifier ou adapter les signes suivantes dans /etc/apache2/mods-available/ssl.conf

SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

Il existe plusieurs outils pour tester l'efficacité de la sécurité de votre protocole SSL/TLS, il y a celui-ci par exemple.

• Auteur : montuy337513
• Sources : This POODLE bites: exploiting the SSL 3.0 Fallback (Pdf), [[https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy|Qualys Blog