Bonjour,
J’ai un problème de sécurité assez gênant avec mon installation sur un Raspberry PI, en effet le SSLv3 est activé et mon site est donc vulnérable à la faille POODLE (https://www.openssl.org/~bodo/ssl-poodle.pdf).
J’ai fait le test suivant : https://www.ssllabs.com/ssltest/analyze.html?d=leeloo.me
On voit clairement que le SSLv3 est activé. J’ai regardé dans tout les fichiers de configurations situés dans /etc/nginx/conf.d et /etc/nginx/conf.d/mondomaine.d et aucune mention n’est faite à SSLv3
Dans le fichier /etc/nginx/conf.d/mondomaine.conf voici ce qu’il y’a :
server {
listen 80;
listen [::]:80;
server_name leeloo.me;
access_by_lua_file /usr/share/ssowat/access.lua;
include conf.d/leeloo.me.d/*.conf;
location /yunohost/admin {
rewrite ^ https://$http_host$request_uri? permanent;
}
access_log /var/log/nginx/leeloo.me-access.log;
error_log /var/log/nginx/leeloo.me-error.log;
}
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name leeloo.me;
ssl_certificate /etc/yunohost/certs/leeloo.me/crt.pem;
ssl_certificate_key /etc/yunohost/certs/leeloo.me/key.pem;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:50m;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
# Uncomment the following directive after DH generation
# > openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048
#ssl_dhparam /etc/ssl/private/dh2048.pem;
access_by_lua_file /usr/share/ssowat/access.lua;
include conf.d/leeloo.me.d/*.conf;
include conf.d/yunohost_admin.conf.inc;
include conf.d/yunohost_api.conf.inc;
access_log /var/log/nginx/leeloo.me-access.log;
error_log /var/log/nginx/leeloo.me-error.log:
}
Merci d’avance si vous avez une idée de pourquoi j’ai du SSLv3 alors que je ne devrais pas (et que j’en veux pas ^^)