Хтось знає, чому я не можу відключити tls 1.0 та tls1.1, оновивши конфігурацію до цього.
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
Після цього я перезавантажую apache, я роблю сканування ssl за допомогою ssllabs або comodo ssl інструменту, і він все ще говорить, що підтримуються tls 1.1 та 1.0. Я хотів би їх видалити?
Відповіді:
Якщо у вас є декілька TLS VirtualHosts та використовується індикація імені сервера (SNI), дозволений синтаксис має SSLProtocol директиву для кожного VirtualHost, але якщо у вас немає IP VirtualHosts на практиці, налаштування від першого появи SSLProtocolдирективи використовуються для всього сервера та / або всі VirtualHosts на основі імен, що підтримують TLS 1 .
Тому перевірте свої основні httpd.conf(і всі включені фрагменти, наприклад, conf.d/*.confподібні включення ), чи не зустрічається більше SSLProtocolдиректив.
Ви синтаксис правильний, хоча я згоден з відповіддю ezra-s, що, розгорнувши allстенограму, ви можете трохи покращити:
SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
простим використанням:
SSLProtocol TLSv1.2
/etc/letsencrypt/options-ssl-apache.conf
що ви вказали достатньо, він не повинен відображати жодних інших протоколів. Пам'ятайте, що SSLLABS кешує останні тести. Хоча знання того, що не існує інших протоколів, які б визначали це так, як ви, - це певна суперечка.
У будь-якому випадку ви можете використовувати це або просто:
SSLProtocol TLSv1.2
-ALL +TLSv1.2?
Я також боровся з цією проблемою, модифікація конфігурацій з SSLProtocolдирективою не працювала. Я в кінцевому підсумку додав наступне до моєї віртуальної конфігурації хоста:
SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2"
Яка працювала чудово. Більше про SSLOpenSSLConfCmdдирективу ви можете прочитати тут .
Вимкнути версію TLS1.0 в Apache.
Якщо у вас кілька віртуальних хостингів, вам доведеться оновити файл усіх конфігурацій, інакше ssl.conf достатньо.
Щоб перевірити підтримку версії TSL:
# nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
| TLSv1.0:
| TLSv1.1:
| TLSv1.2:
Змініть файл конфігурації Apache, vi /etc/httpd/conf.d/web.confвидаліть усі TLS та дозвольте лише TLS1.2.
SSLProtocol TLSv1.2
Затвердити після внесення змін.
# grep SSLProtocol /etc/httpd/conf.d/web.conf
SSLProtocol TLSv1.2
# nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
| TLSv1.2:
# service httpd restart
Вам потрібно перезапустити послугу Apache, використовуючи наступну команду для відображення змін.
sudo service apache2 restart
Нижче код буде добре працювати для мене, ви можете переглянути цю статтю, щоб отримати детальнішу інформацію, https://karthikekblog.com/how-to-disable-enable-ssl-tls-protocols-in-ubentu-apache-linux-server/
<VirtualHost *:443>
ServerName www.yourdomain.com
DocumentRoot /var/www/html
SSLEngine on
SSLProtocol +TLSv1.2
SSLCertificateFile /etc/apache2/certificates/certificate.crt
SSLCertificateKeyFile /etc/apache2/certificates/certificate.key
SSLCertificateChainFile /etc/apache2/certificates/intermediate.crt
</VirtualHost>