Vous êtes ici

Forcer et sécuriser votre HTTPS sur Apache

Nous allons voir dans cet article comment forcer vos visiteurs à utiliser votre site en https plutot que celui en http sans désactiver le http. Nous allons également voir comment désactiver les versions peu fiable du protocol SSL.

 

Dans un premier temps, dans le VirtualHost de votre site HTTP, il faut ajouter cette directive qui va forcer l'utilisation de votre site en HTTPS lors de la visite de celui en HTTP :

 

RewriteEngine On

RewriteCond %{HTTPS} !=on

RewriteRule ^/?(.*) https://votresite.truc/$1 [R,L]

 

Dans un second temps, nous allons forcer votre site HTTPS à utiliser des protocoles SSL plus securisés :

 

vi /etc/apache2/mods-available/ssl.conf

 

Modifier le SSL Cipher Suite comme suit :

 

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2

 

Ainsi que les SSL protocols :

 

SSLProtocol all -SSLv2 -SSLv3

 

Redemarrage du service apache : /etc/init.d/apache2 restart 

 

Voila, votre site force dorénavant ces connections sur le HTTPS et utilise des protocoles SSL plus sécurisés.

Tags: 

www.le-gas.fr : Le guide de l'admin Systeme