J'ai lu des informations sur l' attaque CRIME contre la compression TLS ( CVE-2012-4929 , CRIME est le successeur de l'attaque BEAST contre ssl & tls), et je souhaite protéger mes serveurs Web contre cette attaque en désactivant la compression SSL , qui a été ajoutée à Apache 2.2.22 (Voir bug 53219 ).
J'utilise Scientific Linux 6.3, livré avec httpd-2.2.15. Les correctifs de sécurité pour les versions en amont de httpd 2.2 devraient être rétroportés vers cette version.
# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64
# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built: Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9
J'ai essayé SSLCompression dans ma configuration, mais cela se traduit par le message d'erreur suivant:
# /etc/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
[FAILED]
Est-il possible de désactiver SSLCompression avec cette version d'Apache Webserver?
la source