~/

Aujourd'hui, j'ai réalisé des feuilletés au foie-gras et à la mangue pour l'apéro du nouvel an et je me suis dit que je partagerai bien la recette avec vous. La voici donc :

Depuis longtemps, une partie de mon serveur web, servi par un apache 2.2, était protégée par une authentification de type basique dont la base d'utilisateurs se trouvent dans une table mysql. Lors de l'upgrade du serveur en Ubuntu 13.10, apache est passé de la version 2.2 à la version 2.4.

Et soudain, c'est le drame. De grands changements on eu lieu du côté des modules d'authentification en général et celui gérant les bases mysql comme base d'utilisateurs en particulier.

Je suis tombé au détour du web sur un super outil de test de votre serveur httpS qui vous dit tous les protocoles et "cipher suites" que votre serveur autorise, ainsi que les cipher suites utilisée par chaque navigateur. Vous pouvez tester votre site httpS ici : https://www.ssllabs.com/ssltest/

Evidemment, en ce qui me concerne, avec la configuration par défaut, le résultat n'a pas été très glorieux :

Donc, la question, c'est quelle est "la bonne" configuration à appliquer à son serveur apache pour faire du SSL qui soit un minimum mieux sécurisé que la configuration par défaut.

Parfois, parce qu'on a pas le choix, on doit passer un mot de passe en argument d'une commande. Et bien sûr, en bon parano, on ne souhaite pas que ce mot de passe finisse enregistré dans l'historique du shell.