en effet, il faut faire attention a la chaine décrivant les ciphersuites a utiliser.
la meilleure pour l'instant est :

SSLEngine on
SSLProtocol ALL -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


de rien ;-)

Il faudrait donc dans la règle de redirection exclure les url qui commencent par /pingtest/*

Je parle ici d'expressions complète, implicitement accrochées des deux cotés "^expression$"

Par définition, la négation d'un expression rationnelle est rationnelle, et le conjonction de deux expressions est rationnelle, donc on doit pouvoir écrire une telle expression.

Pour commencer, la négation de "a" est facile "[^a]". La négation de "ab" est moins simple; en autorisant l'opérateur &, on peut écrire "ab" = "a.&.b" autrement dit "ab" est un texte qui contient "a suivi d'une lettre" et en même temps "une lettre suivi de b".

~(ab) = ~(a.&.b) = ~(a.) | ~(.b)

~(a.) est l'ensemble des textes qui ne correspondent pas à "a" suivi d'une lettre, donc soit une seule lettre soit deux lettres dont la première n'est pas "a" :
~(a.) = .|((~a).) = .|([^a].)
~(.b) = .|(.(~b)) = .|(.[^b])
donc ~(ab) = .|([^a].)|.|(.[^b]) = .|([^a].)|(.[^b])

c'est à dire un texte d'une lettre ou ne commençant pas par "a" ou ne finissant pas par "b"

Pour une expression contenant "a" : ".*a.*" la négation est facile
 ~(.*a.*) = (~a)* = [^a]*

Pour une expression ne contenant pas "ab", vous écrivez l'automate non déterministe qui reconnait l'expression ".*ab.*" il a 3 états (s1 : initial, s3 : final), les transitions sont :

s1 : a -> s2 ; . -> s1
s2 : b -> s3 ; . -> s2
s3 : . -> s3

ensuite vous le transformez en automate déterministe S, il a 3 états (S1 : état initial, S3 : état final), les

S1 : a -> S2 ; [^a] -> S1
S2 : b -> S3 ; a -> S2 ; [^ab] -> S1
S3 : . -> S3

On prend la négation c'est à dire l'automate déterministe dont les états finaux sont complèmentaires (S1 : état initial, {S1,S2} : états finaux).

 Ex correspond à l'expression de l'état Sx

E1 = |((a+[^ab])*[^a])
E2 = ((a*[^ab])*[^a])a*

on obtient donc |((a+[^ab])*[^a])|((a*[^ab])*[^a])a*

On doit pouvoir faire ça avec 3 lettres, mais je fatigue.

Petite évolution : j'ai remplacé la ligne
SSLProtocol ALL -SSLv2
par la ligne :
SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1
Concrètement voici ce que cela change :
- SSLv2 : interdit (aucun changement)
- SSLv3 : autorisé avant et interdit maintenant
- TLSv1 : autorisé (aucun changement)
- TLSv1.1 : autorisé (aucun changement)
- TLSv1.2 : autorisé (aucun changement)

Il est en effet conseillé de désactiver SSLv3.
L'effet de bord, c'est la perte de Internet Explorer 6 (et peut être Internet Explorer 7, je n'ai pas testé).
L'affichage ne se fait même pas en mode dégradé avec un message d’alerte mais la personne a un message "Internet Explorer ne peut pas afficher cette page web"

Internet Explorer 8, la dernière version d'IE sous Windows XP est toujours supporté pleinement.

Cela fait passer la note de "Protocole Support" sur SSL Labs de 90 à 95 :



A noter une erreur de SSL Labs : Ce site fonctionne très bien (aucun message d'alerte) sur les navigateurs sans support de SNI (SNI permet de mettre plusieurs sites https sur une même IP).
Concrètement j'ai 2 sites https sur mon serveur : https://lafibre.info et https://testdebit.info sur la même IP et les navigateurs qui ne supportent pas SNI (Internet Explorer sur Windows XP principalement) vont systématiquement récupérer le certificat de LaFibre.info vu qu'ils ne savent pas indiquer le site qu'ils vont visiter avant la récupérations du certificat. Cela va provoquer un gros message d'alerte sous Internet Explorer avec Windows XP, mais uniquement sur https://testdebit.info vu que dans les deux cas le certificat envoyé sera celui de LaFibre.info

Tu as activé la confidentialité persistante, c'est bien, mais aussi les tickets : combien de temps sont-ils valables?