SSLLabs : This server supports SSL 2, which is obsolete and insecure.

Si SSLLabs.com vous indique "This server supports SSL 2, which is obsolete and insecure, and can be used against TLS (DROWN attack)", c'est que votre serveur utilise le protocole SSL 2. Or, depuis Mars 2016, ce protocole est affecté par une vulnérabilité dénommée "DROWN attack".

Concernant le serveur Web Apache, l'attaque Drown affecte Apache 2.2 et inférieur. Apache 2.4 est protégé contre la vulnérabilité Drown.
D'autres outils / logiciels tels que OpenSSL et Nginx sont aussi concernés. Il est recommandé de les mettre à jour et de désactiver SSL 2.

 

SSL 2 is insecure

 

Corriger l'erreur "This server supports SSL 2, which is obsolete and insecure." :

Il est indispensable de désactiver SSL 2 (première version publique de SSL), datant de 1995. SSL 2 est obsolète et non sécurisé.

 

Désactivation de SSL 2 sur Apache 2 :

Il suffit d'éditer la directive "SSLProtocol" d'Apache, que vous trouverez par l'exécution de la commande ci-dessous :

grep -R "SSLprotocol" /etc/apache2

Vous devrez renseigner -SSLv2 afin de désactiver la version 2 de SSL :

# Tous les versions du protocole TLS seront activés, mais pas SSL 2 et SSL 3
SSLProtocol all -SSLv2 -SSLv3

Enfin, redemarrez Apache afin que la désactivation de SSL 2 soit effective :

service apache2 restart

 

 

Désactiver SSL 2 sur Nginx :

La "ssl_protocol" d'Nginx doit être éditée :

grep -R "ssl_protocols" /etc/nginx

Sur Nginx, vous devez spécifier les protocoles que vous souhaitez utiliser. Oubliez donc SSL 2 !

# Renseignez exclusivement TLS 1.0, 1.1 et 1.2 (ce qui désactivera le protocole SSL 2)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Redémarrez Nginx afin que SSL 2 soit désactivé :

service nginx restart