Configuration mod_security et http/2

Salut, les geeks,

Ayant récemment mis à jour mon serveur apache, je me retrouve avec pas mal de protocole http/2 qui se retrouve rejeté de modsecurity qui me dit que le protocole n’est pas supporté.

Version < 3.0

La correction est plutôt simple, il faut modifier le fichier modsecurity_crs_10_setup.conf et trouver la règle n°900012 et modifier la ligne correspondant aux versions http autorisé :

setvar:'x.allowed_http_versions=HTTP/0.9 HTTP/1.0 HTTP/1.1 HTTP/2.0 HTTP/2'

Version > 3.0

Il s’agit de la règles 900230 dans le fichier crs_setup.conf

setvar:'tx.allowed_http_versions=HTTP/1.0 HTTP/1.1 HTTP/2 HTTP/2.0'

Un coup de reload du serveur apache, et c’est bon 😉