Article ID: 120083, created on Mar 30, 2015, last review on Mar 30, 2015

  • Applies to:
  • Plesk 12.0 for Linux
  • Plesk 11.0 for Linux
  • Plesk 11.5 for Linux
  • Plesk 12.0 for Windows

Symptômes

Le serveur doit être conforme aux prérequis de PCI suivants :

  • Serveurs SSL/TLS configurés pour utiliser uniquement TLS 1.1 ou TLS 1.2 s'ils sont pris en charge.
  • Serveurs SSL/TLS configurés pour prendre en charge uniquement les suites de chiffrement qui n'utilisent pas de chiffrements par bloc.

Toutefois, ces protocoles ne sont pas pris en charge par défaut par Plesk.

Cause

La conformité PCI requiert l'activation des protocoles TLS v1.1 et TLS v1.2, mais ces protocoles sont pris en charge par le serveur Web Apache à compter de la version 2.2.23. Cette version spécifique d'Apache n'est pas incluse dans les distributions Linux de base par défaut.

Résolution

  1. Mettez á niveau le pack openssl vers la version 1.0 ou une version ultérieure.

  2. Activez la prise en charge du serveur Web nginx.

    /usr/local/psa/admin/bin/nginxmng --enable
    
  3. Créez un template de domaine personnalisé pour nginx :

    mkdir -p  /usr/local/psa/admin/conf/templates/custom/domain/
    cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain
    

    Modifiez le fichier : /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php, repérez les lignes contenant les directives ssl_protocols et ssl_ciphers et remplacez ces lignes par les lignes suivantes :

    ssl_protocols    TLSv1.1 TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
    

    Sauvegardez le fichier.

  4. Reconfigurez le service Web :

    /usr/local/psa/admin/bin/httpdmng --reconfigure-all
    

Pour désactiver SSLv3 pour les autres services gérés par Plesk, suivez les instructions de l'article : [Plesk] CVE-2014-3566: POODLE attack exploiting SSL 3.0 fallbackCVE-2014-3566 : attaque POODLE, exploitation de la vulnérabilité dans le protocole SSL 3.0"

a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c aea4cd7bfd353ad7a1341a257ad4724a 29d1e90fd304f01e6420fbe60f66f838 0a53c5a9ca65a74d37ef5c5eaeb55d7f 01bc4c8cf5b7f01f815a7ada004154a2 2a5151f57629129e26ff206d171fbb5f e335d9adf7edffca6a8af8039031a4c7 ed7be2b984f9c27de1d2dc349dc19c6d 85a92ca67f2200d36506862eaa6ed6b8 a766cea0c28e23e978fa78ef81918ab8

Email subscription for changes to this article
Save as PDF