Вот как можно отключить устаревшие версии TLS и SSL в Apache (и почему вы должны)

Вот как можно отключить устаревшие версии TLS и SSL в Apache (и почему вы должны)

RedGirl
Новости

Начиная с 30 июня 2018, сайты должны прекратить поддерживать безопасность транспортного уровня (TLS) версии 1.0 для того, чтобы оставаться PCI уступчивое. Протокола TLS 1.0/1.1 и SSL 2.0/3.0 протоколов устарели и не обеспечивают достаточной шифрования для надежной передачи данных. TLS версии 1.0, в частности, содержит уязвимости к определенным атакам вредоносных программ. Все четыре из этих устаревших протоколов должны быть исключены из использования, особенно в средах, которые требуют высокого уровня безопасности.

Подробнее о открытым исходным кодом

Это легко устранить протокол TLS 1.0/1.1 и SSL 2.0/3.0 на веб-сервер Apache (что составляет почти половину всех сайтов) в пользу использования протокола TLS 1.2 исключительно, но важно отметить, что старые клиенты или приложения, которые соединяют эти сайты могут быть затронуты, если они не в поддержку TLS 1.2. Они должны быть исследованы заранее определить свои возможности, и обновить их при необходимости.

Имейте в виду, современные браузеры будут поддерживать TLS 1.2 и должны иметь никаких проблем со сменой, но всегда принять такие изменения в системах разработки первого, то подтвердить функциональность, прежде чем перейти на производственных системах.

См.: 20 отпуск читает, что взять вымышленный посмотреть на реальную технику (бесплатный PDF) (издания techrepublic)

Для этого выполните следующие действия:

1. Использовать VI (или vim) для редактирования /и т. д./httpd/conf файл.д/с SSL.conf (или где в СМЛ.находится файл conf, относящиеся к этой установке Апач)

2. Найдите раздел «Поддержка протокола SSL». Он, вероятно, следующим образом:

# Поддержка протокола SSL:# список включить уровни протокола, с помощью которого клиенты смогут# подключить. Отключение sslv2 доступ по умолчанию:все -поддержку протокола sslv2 SSLProtocol

3. Закомментируйте «SSLProtocol все -поддержку протокола sslv2» и добавьте следующую строку ниже:

SSLProtocol все -поддержку протокола sslv2 -протокол sslv3 -протоколе tlsv1 -протоколе tlsv1.1

Этот раздел должен выглядеть следующим образом:

# Поддержка протокола SSL:# список включить уровни протокола, с помощью которого клиенты смогут# подключить. Отключение sslv2 доступ по умолчанию:#все -поддержку протокола sslv2 SSLProtocol

SSLProtocol все -поддержку протокола sslv2 -протокол sslv3 -протоколе tlsv1 -протоколе tlsv1.1

Этот параметр отключает протокол TLS 1.0/1.1 и SSL 2.0/3.0.

4. Искать раздел SSL шифрования. Он, вероятно, следующим образом:

# Комплект шифра SSL:# список шифров, которые клиент вправе договариваться.# См. документацию расширением mod_ssl полный список.Высокая SSLCipherSuite:средне:!аннулирует:!Алгоритм MD5:!Семя:!Идея

5. Закомментируйте «высокий SSLCipherSuite:средне:!аннулирует:!Алгоритм MD5:!Семя:!Идея» и добавьте следующую строку ниже:

Высокая SSLCipherSuite:!аннулирует:!Алгоритм MD5:!3ДЕСЬ

Этот раздел должен выглядеть следующим образом:

# Комплект шифра SSL:# список шифров, которые клиент вправе договариваться.# См. документацию расширением mod_ssl для получения полного списка#.Высокая SSLCipherSuite:средне:!аннулирует:!Алгоритм MD5:!Семя:!Высокая IDEASSLCipherSuite:!аннулирует:!Алгоритм MD5:!3ДЕСЬ

Этот параметр обеспечивает только высокую безопасность SSL шифры будут использоваться.

Теперь добавьте «SSLHonorCipherOrder на» под «SSLCipherSuite высокая:!аннулирует:!Алгоритм MD5:!3ДЕСЬ» или прокрутите вниз до «скорость-оптимизация шифра SSL конфигурации:» разделе и добавить его под себя (это действительно не имеет значения, где вы на самом деле добавить эти параметры, но это помогает поддерживать равномерное, так что все конфигурационные файлы имеют соответствующие разделы настроек).:

Оптимизированный по скорости # конфигурации SSL шифрования:

# Если скорость является вашей главной заботой (на загруженных серверов https, например),

# вы, возможно, захотите, чтобы заставить клиентов конкретных, производительность# оптимизирован шифры. В таком случае, добавляйте эти шифры

# в SSLCipherSuite список, и включить SSLHonorCipherOrder.

# Нюанс: давая приоритет для RC4-SHA и AES128-ша

# (как в примере ниже), большинство подключений больше не будет

# иметь совершенную прямую секретность — если сервера ключ

# скомпрометирован, захватывает прошлого или будущего движения должны быть
# считались слишком скомпрометирована,.SSLHonorCipherOrder на

Этот параметр гарантирует шифр предпочтения сервера следует, а не для клиента последовательности.

Сохраните файл в редакторе, а затем перезапустите службу Apache для того, чтобы вступили в силу:

сервис httpd перезагрузка

Теперь убедитесь, чтобы проверить доступ к веб-серверу, используя любые клиенты или приложения, привлекаются для подтверждения успеха. Если у вас возникнут проблемы, вы можете отменить изменения путем редактирования протокола SSL.файл conf, закомментировав дополнения, которые вы сделали, удалив из исходных параметров сохранения файла перезапустить службу httpd.

0
Авторизация
*
*

5 × пять =

Регистрация
*
*
*
Пароль не введен
*

четырнадцать − десять =

Генерация пароля

тринадцать − 7 =