4 203
modifications
« Sécurisation SSL / TLS de apache » : différence entre les versions
Aller à la navigation
Aller à la recherche
→ECDH
(→ECDH) |
(→ECDH) |
||
| Ligne 22 : | Ligne 22 : | ||
Par défaut, apache utilise ECC 256 bits quelque soit la taille de la clé rsa utilisé.<br> | Par défaut, apache utilise ECC 256 bits quelque soit la taille de la clé rsa utilisé.<br> | ||
Vous pouvez cependant forcer l'utilisation d'une courne ECC plus grande en l'ajoutant après le certificat ssl défini par la directive <code>SSLCertificateFile</code> (il faudra donc le faire pour chaque site que vous sécurisez en ssl ...) : | Vous pouvez cependant forcer l'utilisation d'une courne ECC plus grande en l'ajoutant après le certificat ssl défini par la directive <code>SSLCertificateFile</code> (il faudra donc le faire pour chaque site que vous sécurisez en ssl ...) : | ||
<pre>openssl ecparam -name | <pre>openssl ecparam -name secp384r1 -out /etc/ssl/private/ecdhsecp584r1.pem | ||
cat /etc/ssl/private/ | cat /etc/ssl/private/ecdhsecp384r1.pem >> /etc/ssl/votresite.tld.pem | ||
</pre> | </pre> | ||
| Ligne 32 : | Ligne 32 : | ||
On peut aussi vérifier la courbe utilisé : | On peut aussi vérifier la courbe utilisé : | ||
<pre>openssl ecparam -in /etc/ssl/private/ | <pre>openssl ecparam -in /etc/ssl/private/ecdhsecp384r1.pem -text -noout</pre> | ||
Dès Apache 2.4.8 et OpenSSL 1.0.2, on peut dire a apache quelle courbe utiliser de manière globale par ordre de priorité et ce pour tous les sites (plus de necessité de le faire dans chaque fichier .pem) : | Dès Apache 2.4.8 et OpenSSL 1.0.2, on peut dire a apache quelle courbe utiliser de manière globale par ordre de priorité et ce pour tous les sites (plus de necessité de le faire dans chaque fichier .pem) : | ||