20.9. Définition des algorithmes de chiffrement pris en charge sur un serveur HTTP Apache
Par défaut, le serveur HTTP Apache utilise la politique cryptographique du système qui définit des valeurs par défaut sûres, également compatibles avec les navigateurs récents. Pour obtenir la liste des algorithmes de chiffrement autorisés par la politique cryptographique du système, consultez le fichier /etc/crypto-policies/back-ends/openssl.config
.
Cette section décrit comment configurer manuellement les algorithmes de chiffrement pris en charge par le serveur HTTP Apache my_company.idm.example.com. Suivez la procédure si votre environnement requiert des algorithmes de chiffrement spécifiques.
Conditions préalables
- Le cryptage TLS est activé sur le serveur my_company.idm.example.com comme décrit dans Ajouter le cryptage TLS à un serveur HTTP Apache.
Procédure
Modifiez le fichier
/etc/httpd/conf/httpd.conf
et ajoutez le paramètreSSLCipherSuite
à la directive<VirtualHost>
pour laquelle vous souhaitez définir les algorithmes TLS :SSLCipherSuite "EECDH AESGCM:EDH AESGCM:AES256 EECDH:AES256 EDH:!SHA1:!SHA256"
Cet exemple n'active que les algorithmes de chiffrement
EECDH AESGCM
,EDH AESGCM
,AES256 EECDH
etAES256 EDH
et désactive tous les algorithmes de chiffrement qui utilisent les codes d'authentification des messages (MAC)SHA1
etSHA256
.Redémarrez le service
httpd
:# systemctl restart httpd
Verification steps
Pour afficher la liste des algorithmes de chiffrement pris en charge par le serveur HTTP Apache :
Installez le paquetage
nmap
:# dnf install nmap
Utilisez l'utilitaire
nmap
pour afficher les algorithmes de chiffrement pris en charge :# nmap --script ssl-enum-ciphers -p 443 example.com ... PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A ...
Ressources supplémentaires
-
update-crypto-policies(8)
page de manuel - Utilisation de politiques cryptographiques à l'échelle du système.
- Manuel d'installation du serveur HTTP Apache - SSLCipherSuite