Bonnes pratiques SSL

La configuration apache ci-dessous devrait vous prémunira des dernières turpitudes liées à OpenSSL et vous permettra d’obtenir un bon score à ssllabs ou testssl.sh

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+AESGCM EECDH EDH+AESGCM EDH+aRSA HIGH !MEDIUM !LOW !aNULL !eNULL !LOW !RC4 !MD5 !EXP !PSK !SRP !DSS !3DES"
SSLHonorCipherOrder on

En ce qui concerne postfix:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = aNULL, MD5, 3DES, DES, RC

Sources:
– https://testbit.eu/apache-sslciphersuite-without-poodle/
– http://www.bortzmeyer.org/drown.html

Merci d’ailleur à @bortzemeyer de m’avoir fait découvrir http://testssl.sh/