Comment puis-je désactiver le chiffrement ssl3 dans le serveur OSX afin de ne pas être vulnérable à la fraude ? POODLE ?
Réponses
Trop de publicités?
Cela dépend du serveur...
Apache : SSLProtocol All -SSLv2 -SSLv3
NGINX : ssl_protocols TLSv1 TLSv1.1 TLSv1.2 ;
Postfix : smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
Sendmail (sendmail.mc) : LOCAL_CONFIG O CipherList=HIGH O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
Dovecot (Dans /etc/dovecot/local.conf ou /etc/dovecot/conf.d) : ssl_protocols = !SSLv2 !SSLv3
Si vous utilisez des serveurs virtuels avec SSL, veuillez noter que vous devez le faire sur toutes les instances !
cx0der
Points
356
Si vous configurez des VirtualHosts à l'aide de Server.app, il définira toujours SSLProxyProtocol -ALL +SSLv3 +TLSv1 dans la configuration de votre site. Vous pouvez modifier cette ligne dans /Library/Server/Web/Config/apache2/sites/*.conf mais faites attention au cas où Server.app annulerait vos changements après une modification.
Pour corriger le problème dans les futurs VirtualHosts, vous pouvez essayer de modifier le modèle par défaut dans la section /Library/Server/Web/Config/apache2/sites_disabled/0000_default_default.conf mais attention, la mise à jour de Server.app via la boutique d'applications peut restaurer la configuration par défaut d'origine. Précédemment default_default.conf.default était le modèle, mais cela ne semble pas être le cas dans Mavericks.
Si vous ne tenez pas compte de Server.app et que vous effectuez une configuration manuelle, vous pouvez vous contenter d'une seule configuration en installant un fragment de configuration dans le fichier /Library/Server/Web/Config/apache2/other/ (ou /etc/apache2/other/ si Server.app n'est pas du tout installé). Voici le mien :
/Library/Server/Web/Config/apache2/other/die_poodle_die.conf :
<IfModule mod_ssl.c>
SSLProtocol All -SSLv2 -SSLv3
</IfModule>
0 votes
Quelle version de l'application serveur OS X ? La vulnérabilité "poodle" étant un problème de fuite de données côté client, quel client spécifique cherchez-vous à sécuriser ? Des clients web s'exécutant sur une machine avec server.app configuré, etc...
0 votes
J'ai en fait de très vieux trucs qui fonctionnent : Lion Server app et Snow Leopard Server. Il s'agit de sécuriser la fonctionnalité de messagerie, ce qui signifie qu'elle inclut postfix, Apache et Dovecot, pour autant que je sache.