Início / server / Perguntas / 848177
Accepted
David
Asked: 2017-05-04 23:31:44 +0800 CST

Como posso desabilitar o TLS 1.0 e 1.1 no apache?

  • 772

Alguém sabe por que não consigo desabilitar o tls 1.0 e o tls1.1 atualizando a configuração para isso.

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Depois de fazer isso, recarrego o apache, faço uma varredura ssl usando a ferramenta ssllabs ou comodo ssl, e ainda diz que tls 1.1 e 1.0 são suportados. Eu gostaria de remover estes?

ssl

8 respostas

  1. Best Answer

    Quando você tem vários TLS VirtualHosts e usa Server Name Indication (SNI), é uma sintaxe permitida ter uma SSLProtocol diretiva para cada VirtualHost, mas a menos que você tenha IP VirtualHosts na prática, as configurações da primeira ocorrência da SSLProtocoldiretiva são usadas para todo o servidor e/ou todos os VirtualHosts baseados em nome que suportam TLS 1 .

    Portanto, verifique seu main httpd.conf(e todos os trechos incluídos de, por exemplo conf.d/*.conf, e inclusões semelhantes) para mais ocorrências da SSLProtocoldiretiva.

    Sua sintaxe está correta, embora eu concorde com a resposta de ezra-s de que, quando você expande a allabreviação, pode melhorar um pouco:

     SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

    simplesmente usando:

     SSLProtocol TLSv1.2
    • 72

  2. que você especificou é suficiente, não deve mostrar nenhum outro protocolo. Lembre-se de que o SSLLABS armazena em cache os testes recentes. Embora saber que não há outros protocolos definindo como você fez seja meio complicado de propósito.

    Em qualquer caso, você pode usar isso ou simplesmente:

    SSLProtocol TLSv1.2
    • 11

  3. Eu também estava lutando com esse problema, modificar as configurações com a SSLProtocoldiretiva não estava funcionando. Acabei adicionando o seguinte à minha configuração de host virtual:

    SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2"

    O que funcionou perfeitamente. Você pode ler mais sobre a SSLOpenSSLConfCmddiretiva aqui .

    • 8

  4. Desative a versão TLS1.0 no Apache.

    Se você tem várias hospedagens virtuais, você precisa atualizar todos os arquivos de configuração, caso contrário, ssl.conf é suficiente.

    Para verificar a versão de suporte do TSL:

    # nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
|   TLSv1.0:
|   TLSv1.1:
|   TLSv1.2:

    Modifique o arquivo de configuração do Apache, vi /etc/httpd/conf.d/web.confremova todos os TLS e permita apenas o TLS1.2.

    SSLProtocol TLSv1.2

    Valide após a modificação.

    # grep SSLProtocol /etc/httpd/conf.d/web.conf
SSLProtocol TLSv1.2

# nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
|   TLSv1.2:
# service httpd restart
    • 7

  5. Você pode habilitar o TLS 1.2 e 1.3 dessa maneira e ter tudo obsoleto desabilitado.

      SSLProtocol +TLSv1.2 +TLSv1.3
  SSLCipherSuite HIGH:!kRSA:!ADH:!eNULL:!LOW:!EXP:!MD5:!3DES

    resultado do cdn77.com/tls-test

    • 2

  6. Eu também enfrentei esse problema. Não consegui desabilitar o TLSv1 ou o TLSv1.1 para apenas um VHost configurando-o nesse Vhost.

    Encontramos duas soluções:

    1 -

    Como executamos vários endereços IP em uma instância, desativei o TLSv1 e o TLSv1.1 por endereço IP e também para os Vhosts definidos.

    2 -

    Quando configuramos apenas cifras fortes, parece que apenas o TLSv1.2 está disponível

      SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

  SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
  SSLHonorCipherOrder on

    Apache 2.4.23, openssl 1.0.2.

    Talvez alguém possa verificar minhas observações.

    • 0

  7. Há muitas respostas boas aqui, mas elas não funcionaram para mim ou foram realmente um exagero. As sugestões a seguir foram testadas no Ubuntu 16.04 Apache 2.

    Uma observação importante é que o primeiro host virtual nessa porta dita a configuração... mesmo que sua configuração não especifique explicitamente um valor SSLProtocol .

    Para determinar o primeiro host virtual:

    bash
source /etc/apache2/envvars
apache2 -t -D DUMP_VHOSTS
exit

    No CentOS, apenas uma linha provavelmente será necessária:

    httpd -t -D DUMP_VHOSTS

    Ao fazer isso, você deve ver uma lista dos hosts virtuais e pode incluir uma seção 443 algo como

    *:443                  is a NameVirtualHost
     default server example.com (/etc/apache2/sites-enabled/example.com-le-ssl.conf:2)
     port 443 namevhost sample.com (/etc/apache2/sites-enabled/sample.com-le-ssl.conf:2)
     port 443 namevhost another.org (/etc/apache2/sites-enabled/another.org-le-ssl.conf:2)
     port 443 namevhost lucky.com (/etc/apache2/sites-enabled/lucky.com-le-ssl.conf:2)
             alias test15a.zzzzpost.com

    Ao ver isso, você pode achar que é suficiente atualizar a configuração SSLProtocol apenas para esse host virtual "servidor padrão".

    Outra complicação que você pode encontrar com sugestões anteriores é que se você grep por ocorrências de SSLProtocol em sua árvore /etc/apache2/ ou /etc/httpd/, você não encontrará configuração em outras partes do seu sistema de arquivos. Isso pode ser importante se sua configuração tiver diretivas Include. Por exemplo, se você usou o instalador do Let's Encrypt, ele geralmente adiciona estes:

    <IfModule mod_ssl.c> 
<VirtualHost *:443>  
    ServerName mydomain.com
    ...
    Include /etc/letsencrypt/options-ssl-apache.conf 
    ...
</VirtualHost>

    Então minhas sugestões são:

    1. Determine the first virtual host on the given port.  See my example above 
   for details.
2. Inspect the configuration for that virtual host carefully.    
   a. If you find that config file explicitly sets SSLProtocol, make your change there.
   b. If not, but you find it includes a config file that is setting SSLProtocol, 
      consider setting it there.
   c. Otherwise, it's likely that setting it in your ssl.conf file would work.
   d. If not, consider creating your own config file with your SSLProtocol setting
      and including it in this first virtual host config, and possibly all virtual 
      host configs.

    Como mencionado por outros, a configuração que você deseja é

    SSLProtocol             TLSv1.2

    Depois de fazer sua alteração, você pode confirmá-la rapidamente por meio de:

    systemctl reload apache2    
# This ^^^ must be done before vvvv
nmap --script ssl-enum-ciphers -p 443 sample.com | grep TLSv

    Se você foi bem-sucedido, isso lista apenas TLSv1.2.

    • 0

  8. Você precisa reiniciar o serviço Apache usando o comando a seguir para refletir as alterações.

    sudo service apache2 restart

    O código abaixo funcionará bem para mim, você pode verificar este artigo para obter mais detalhes, https://karthikekblog.com/how-to-disable-enable-ssl-tls-protocols-in-ubentu-apache-linux-server/

    <VirtualHost *:443>
ServerName www.yourdomain.com
DocumentRoot /var/www/html
SSLEngine on
SSLProtocol +TLSv1.2
SSLCertificateFile /etc/apache2/certificates/certificate.crt
SSLCertificateKeyFile /etc/apache2/certificates/certificate.key 
SSLCertificateChainFile /etc/apache2/certificates/intermediate.crt
</VirtualHost>
    • -1

relate perguntas