Corriger une erreur SSL Labs

Erreur SSLLabs : This server accepts RC4 cipher

 

This server accepts RC4 cipher, but only with older protocol versions

Cette erreur est retournée par SSLLabs.com lorsque l'algorithme de chiffrement RC4 est activé dans la suite cryptographique.
Le cipher RC4 est considéré comme peu sécurisé en matière de sécurité SSL / TLS. Il est vivement recommandé de désactiver le chiffrement RC4.

 


 

Résoudre : "This server accepts RC4 cipher, but only with older protocol versions"

La solution vise à indiquer au navigateur que le serveur ne souhaite pas accepter le RC4 (Rivest Cipher 4). Pour cela, il faut l'indiquer dans la suite cryptographique.

 

Désactiver le RC4 Cipher sur Apache 2 :

Il est nécessaire de modifier la directive "SSLCipherSuite" qui contient la suite cryptographique acceptée par le serveur :

grep -R "SSLCipherSuite" /etc/apache2

Ensuite, il est nécessaire de remplacer votre configuration par celle ci-dessous pour désactiver le Cipher RC4 :

# On active les méthodes de chiffrement sécurisées (HIGH) et on désactive RC4 (!RC4)
SSLCipherSuite HIGH:!aNULL:!MD5:!ADH:!DH:!RC4

# La directive SSLHonorCipherOrder permet de forcer le navigateur à utiliser les préférences de chiffrement du serveur
SSLHonorCipherOrder on

Redémarrer Apache 2 pour que la désactivation du cipher RC4 soit prise en compte :

service apache2 restart

 


 

Désactiver le RC4 Cipher sur Nginx :

Trouver la directive "ssl_ciphers" dans la configuration Nginx :

grep -R "ssl_ciphers" /etc/nginx

Remplacer la valeur de la directive pour permettre la désactivation de RC4 :

# On active les méthodes de chiffrement sécurisées (HIGH) et on désactive RC4 (!RC4)
ssl_ciphers "HIGH:!aNULL:!MD5:!ADH:!DH:!RC4";

# La directive ssl_prefer_server_ciphers permet de forcer le navigateur à utiliser les préférences de chiffrement du serveur
ssl_prefer_server_ciphers on;

Redémarrer Nginx pour desactiver RC4 :

service nginx restart

 

Notez cet article:
0
13/10/2016 : Erreur après la révocation d'une raci...
Qu'est-ce que l'ECC (Elliptic curve cryptography)

Quelques articles qui pourraient vous intéresser ...