Вопросы Теги

Как отключить TLS 1.0, TLS 1.1 на Apache

Я включил TLS 1.2 в своем веб-сервере. Но http://ssllabs.com указывает, что, я включил TLS 1.0 и 1,1 версии наряду с TLS1.2 в моем сервере. Я изменил свои файлы конфигураций для отключения 1.0 и 1.1 с моего сервера. Но это не помогает.

/etc/apache2/mods-enabled/ssl.conf

SSLCipherSuite HIGH:!SSLv3:!kRSA:!kECDH:!ADH:!DSS
SSLHonorCipherOrder on
SSLProtocol -all +TLSv1.2

У меня есть несколько виртуальных хостов в моем сервере Apache. В каждом файле у меня есть следующая конфигурация.

SSLEngine On
SSLProtocol -all +TLSv1.2
SSLCertificateFile /etc/ssl/certs/certfile.pem
SSLCertificateKeyFile /etc/ssl/private/certfile.pem
3
задан 11 February 2019 в 12:22

3 ответа

Посмотрите в/etc/letsencrypt/папке для конфигурационного файла. Давайте Зашифруем, добавляет запись в sites-enabled/-le-ssl.conf файле:

Включайте/etc/letsencrypt/options-ssl-apache.conf

Необходимо будет обновить директивы SSLProtocol & SSLCipherSuite в том файле также.

0
ответ дан 1 December 2019 в 20:06

В текущей версии Ubuntu 18.04 LTS используется Apache 2.4.29, и проблема не воспроизводится.

Следующая конфигурация в /etc/apache2/sites-enables/default-ssl.conf отключает нежелательные версии протокола: 

# Suppress TLSv1.0 and TLS v1.1
SSLProtocol +TLSV1.2 +TLSv1.3

Я помещаю ее в конец файла перед ] .

2
ответ дан 29 April 2020 в 16:29

Letsencrypt по умолчанию запишет это в /etc/letsencrypt/options-ssl-apache.conf . Убедитесь, что он включен в конфигурацию вашего сервера. 

SSLEngine on    
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
</VirtualHost>

Откройте этот файл и отредактируйте его, как показано ниже. 

SSLEngine on

#we comment out whatever Letsencrypt give here
#SSLProtocol             all -SSLv2 -SSLv3
#We disabled TLS 1.0/1.1 and SSL 2.0/3.0 here
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 

#Comment out whatever Letsencrypt give by default for SSLCipherSuite
#SSLCipherSuite    ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305 .....

#Add this line instead of what Letsencrypt added as SSLCipherSuite
#This is to ensure the use of SSL encryption with a high degree of protection.
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

SSLHonorCipherOrder     on
SSLCompression          off

Вернитесь к Проверке SSL-сервера и Очистите кэш. Затем повторно запустите тест

enter image description here

3
ответ дан 26 July 2020 в 12:06

Другие вопросы по тегам:

Похожие вопросы: