Le problème se situe dans l’option SSL (CHF 10 de plus par année): comme dans toutes les installations Apache par défaut, SSL version 2 est activé avec une série de chiffrement désormais considéré peu robuste.

Le résultat d’un test en ligne à l’aide d’un outil tel que https://www.ssllabs.com/ssldb/analyze.html?d=www.ness.ch&hideResults=on est sans appel:

image

D’après mes recherches, il semble qu’il soit possible de désactiver SSLv2 et de bannir les méthodes de chiffrement peu sûres à l’aide de la ligne suivante dans un fichier .htaccess:

###        SSL stuff        ###
# Sources:     http://blog.zenone.org/2009/03/pci-compliance-disable-sslv2-and-weak.html
#            http://www.askapache.com/htaccess/apache-ssl-in-htaccess-examples.html
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH

Malheureusement ces directives ne sont pas prises en comptes par le serveur. La réponse du service technique confirmera que dans leur configuration actuel, il n’est pas autorisé de spécifier ce type de paramètres au niveau .htaccess. Toujours d’après le service technique, il n’est pas non plus prévu d’adapter cela prochainement – très dommage!