Configurer apache pour travailler sans renégociation SSL
Suite aux problèmes de renegociation apache rendus publics en Novembre 2009, il est recommandé de configurer apache comme suit:A la racine du virtualhost SSL
SSLVerifyDepth 4 SSLVerifyClient none (ou require) SSLCipherSuite !EDH:!ADH:!DSS:!RC4:HIGH:+3DES SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on # apache 2.1+Puis, à l'intérieur de votre virtualhost, ou dans les .htaccess dans votre DocumentRoot, n'utilisez jamais plus les 4 instructions ci-dessus.
Cela permettra à votre Apache de négocier de bonnes valeurs dès la racine, et de ne pas renégocier par la suite.
Inconvénient: vous ne pouvez-plus configurer un site sans authentification par certificat à la racine avec uniquement un répertoire exigeant un certificat. Il faut créer un site spécial qui exige le certificat client dès la racine.
Dernière modification le 18/06/2015 07:33:21 --- [Chercher]