Keselamatan

Cara Membolehkan TLS 1.3/1.2 di Apache

Cara Membolehkan TLS 1.3/1.2 di Apache

Semua versi SSL dan TLS lebih tua dari 1.2 mempunyai banyak kelemahan yang diketahui seperti Poodle (CVE-2014-3566), itulah sebabnya pelayar terkini telah menghapuskan sokongan untuk protokol terdedah ini. Kami juga mengesyorkan memindahkan pelayan anda untuk menggunakan versi TLS dan khususnya ke TLS 1.2. Tutorial ini akan membantu anda untuk membolehkan TLS 1.2 dan TLS 1.3 dalam pelayan mod_ssl dan apache.

  • Pasang dan gunakan mari enkripsi SSL dengan Apache

Prasyarat

Untuk membolehkan TLS 1.3 Anda mesti mempunyai Apache versi 2.4.38 atau lebih tinggi pada sistem anda. Juga cari fail konfigurasi host maya SSL sistem anda.

Umumnya sistem berasaskan Debian ada fail di bawah /etc/apache2/enabled tapak direktori.

Dan sistem berasaskan redhat (rpm) ada konfigurasi di /etc/httpd/conf/httpd.Conf fail atau fail sperat di bawah /etc/httpd/conf.d direktori.

Dayakan TLS 1.2 Hanya di Apache

Pertama, edit bahagian hos maya untuk domain anda dalam fail konfigurasi SSL Apache pada pelayan anda dan tambahkan tetapkan Sslprotocol seperti berikut. Ini akan melumpuhkan semua protokol lama dan pelayan Apache anda dan membolehkan TLSV1.2 sahaja.

 Sslprotocol -all +tlsv1.2

Hos maya Apache yang minimum dengan SSL kelihatan seperti ini:

 ServerName www.Contoh.com dokumen/var/www/html sslengine di sslprotocol -all +tlsv1.2 SSLCertificateFile/etc/LetsEncrypt/Live/Example.com/cert.PEM SSLCertificateKeyFile/etc/LetsEncrypt/Live/Example.com/privkey.PEM

Dayakan TLS 1.3 & 1.2 Kedua -duanya di Apache

Versi Apache 2.4.Versi 38 atau lebih tinggi menyokong TLS v1.3. Anda mesti menaik taraf pakej Apache sebelum membolehkan TLS 1.3 dalam tetapan SSL.

 Sslprotocol -all +tlsv1.2 +TLSV1.3

Apache Virtualhost yang paling mudah dengan SSL kelihatan seperti di bawah

 ServerName www.Contoh.com dokumen/var/www/html sslengine di sslprotocol -all +tlsv1.2 +TLSV1.3 SSLCertificateFile/etc/LetsEncrypt/Live/Example.com/cert.PEM SSLCertificateKeyFile/etc/LetsEncrypt/Live/Example.com/privkey.PEM

Setelah membuat perubahan dalam fail konfigurasi anda, mulakan semula perkhidmatan Apache untuk menggunakan tetapan baru.