Un petit mémo technique pour sécuriser une configuration de site sous Apache 2.4 en TLS, basé notamment sur des recommandations issues de l’article Strong SSL Security on Apache2.

SSLEngine on
SSLCompression off
SSLProtocol TLSv1.2
SSLHonorCipherOrder on
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
# recommended cipher suite for backwards compatibility (IE6/WinXP):
# SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

SSLCertificateFile /etc/pki/localcerts/myCert.crt
SSLCertificateKeyFile /etc/pki/localcerts/myCert.key
Strong SSL Configuration

A cela, on peut ajouter le code suivant pour empêcher l’utilisation abusive des méthodes TRACK et TRACE de votre serveur web.

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
Disable TRACE/TRACK methods