Jak zakázat zastaralé verze protokolu SSL/TLS v aplikaci Apache

Od 30. června 2018 by majitelé stránek měli z důvodu kompatibility s PCI odmítnout podporu TLS 1.0. Protokoly TLS 1.0/1.1 a SSL 2.0/3.0 jsou zastaralé. Neposkytují dostatečnou ochranu pro přenos dat. Zejména protokol TLS 1.0 je zranitelný vůči některým útokům. V prostředích, která vyžadují vysokou úroveň zabezpečení, musí být výše uvedené verze protokolů odstraněny.

Téměř všechny moderní prohlížeče podporují protokol TLS 1.2. Níže se budeme zabývat tím, jak v Apache zakázat verze TLS 1.0/1.1 a SSL 2.0/3.0.

1. Pomocí vi (nebo vim) upravte soubor ssl.conf (obvykle se nachází v souboru /etc/httpd/conf.d).

2. Vyhledejte oddíl Podpora protokolu SSL:

#  Podpora protokolu SSL:

# Seznam úrovní povolených protokolů, s nimiž budou klienti schopni

# připojit.  Ve výchozím nastavení zakažte přístup přes protokol SSLv2:

SSLProtocol all -SSLv2 -SSLv3

3. Zakomentujte řádek SSLProtocol all -SSLv2 -SSLv3 tak, že před něj přidáte symbol hash.

4. Přidejte pod něj řádek:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

5. Vypnuli jsme protokoly TLS 1.0/1.1 a SSL 2.0/3.0 a dále zkoumáme šifrovací sadu SSL.

# SSL Cipher Suite:

# Seznam šifer, které může klient vyjednat.

# Úplný seznam naleznete v dokumentaci mod_ssl.

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

6. Okomentujte řádek SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA a přidejte pod něj následující:

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

Tato možnost zajišťuje použití pouze šifrování SSL s vysokým stupněm ochrany.

Také přidejte pod řádek SSLCipherSuite HIGH:!aNULL:!MD5:!3DES:

SSLHonorCipherOrder on

Tento parametr zajišťuje, že budou použity předvolby šifry serveru, nikoli předvolby klienta.

Uložte soubor a restartujte Apache:

service httpd restart

Dále otestujte všechny aplikace, které komunikují se serverem. Pokud se vyskytnou problémy, můžete odstranit komentáře (symbol hash) a vrátit se k předchozí verzi souboru.

S LeaderTelecom dodržujte nejlepší postupy SSL!