Alerte : "Disable SSL 2.0 and use SSL 3.0 or TLS 1.0 instead"

Version imprimable

salut tous,
je travaille avec https (ssl2)
en lançant un audit sur mon site j'ai eu un erreur "high level"
Code:

1 2 3 4 5 6 7 8 9 10 11 Vulnerability description The remote service encrypts traffic using an old deprecated protocol with known weaknesses. Affected items Server The impact of this vulnerability An attacker may be able to exploit these issues to conduct man-in-the-middle attacks or decrypt communications between the affected service and clients. How to fix this vulnerability Disable SSL 2.0 and use SSL 3.0 or TLS 1.0 instead.
SVP, comment Disable SSL 2.0 et utiliser SSL 3.0 or TLS 1.0 ?

---------
Merci bcp

19/05/2010, 21h31
_Mac_

C'est un serveur que tu administres toi-même ou c'est un hébergement mutualisé ?
20/05/2010, 09h57
MSM_007

C'est mon serveur où j'administre tout
20/05/2010, 22h15
_Mac_
La doc Apache donne un exemple :
Code:

1 2 # enable SSLv3 and TLSv1, but not SSLv2 SSLProtocol all -SSLv2
Je ne suis pas du tout un expert de mod_ssl mais j'imagine qu'il faut aussi configurer SSLCipherSuite pour retirer SSLv2 et activer SSLv3 et TLSv1.
24/05/2010, 12h51
MSM_007

merci infiniment _Mac_, ça résout le problème