Frage Wie kann ich TLS 1.0 und 1.1 in Apache deaktivieren?


Wer weiß, warum ich tls 1.0 und tls1.1 nicht deaktivieren kann, indem ich die Konfiguration auf diese aktualisiere.

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 

Nachdem ich das getan habe, lade ich Apache neu. Ich mache einen ssl-Scan mit dem ssllabs oder comodo ssl tool, und es steht immer noch, dass tls 1.1 und 1.0 unterstützt werden. Ich möchte diese entfernen?


18
2018-05-04 07:31


Ursprung




Antworten:


Wenn Sie mehrere TLS-VirtualHosts verwenden und Server Name Indication (SNI) verwenden, ist eine zulässige Syntax a SSLProtocol  Direktive für jeden VirtualHost, aber wenn Sie nicht IP VirtualHosts in der Praxis die Einstellungen vom ersten Auftreten des SSLProtocol Direktive werden für den gesamten Server und / oder verwendet alles namensbasierte VirtualHosts, die TLS unterstützen1.

Also schau mal nach deinem Hauptdarsteller httpd.conf (und alle enthaltenen Snippets von zum Beispiel conf.d/*.conf und ähnliches) für mehr Vorkommen der SSLProtocol Richtlinie.

Deine Syntax ist korrekt, obwohl ich dem zustimme Ezra-s Antwort Wenn Sie das erweitern all Kurzschrift, können Sie etwas verbessern:

 SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 

indem einfach:

 SSLProtocol TLSv1.2

32
2018-05-04 08:17



Das alles macht Sinn, aber ich habe getan, was Sie empfohlen haben. Ich habe mein / etc / httpd Verzeichnis für alle Referenzen von "SSLProtocol" grep'd. Ich habe es dann auf SSLProtocol TLSv1.2 aktualisiert, dann habe ich einen Neustart gemacht und es zeigt immer noch, dass Tls 1.0 und 1.1 unterstützt wird. Ich habe es auch auf einem anderen meiner Server versucht und dasselbe Problem. Irgendwelche Ideen? - David
Fehlalarm, das wurde tatsächlich von comodo und ssllabs-Berichten zwischengespeichert. Es scheint jetzt korrekt zu berichten. Vielen Dank. - David
Ich denke, ich würde empfehlen, "all" mit Minus für die Protokolle zu verwenden, die Sie nicht wollen. Zukünftige Versionen von Apache definieren "alle" anders, da neue Standards entwickelt werden und alte Standards unsicher sind. - bobpaul


dass Sie angegeben haben, ist genug, sollte es keine anderen Protokolle zeigen. Denken Sie daran, dass SSLLABS kürzlich durchgeführte Tests zwischenspeichert. Obwohl Sie wissen, dass es keine anderen Protokolle gibt, die es so definieren, wie Sie es getan haben, ist es mit Absicht gewunden.

In jedem Fall können Sie das verwenden oder einfach:

SSLProtocol TLSv1.2

7
2018-05-04 07:52



Gibt es einen Unterschied, wenn Sie angeben? -ALL +TLSv1.2? - Chazy Chaz
"Alle" wird zu "+ SSLv3 + TLSv1 + TLSv1.1 + TLSv1.2" erweitert. Ich sehe keinen Vorteil für die Verwendung von "-All". Eigentlich ist aus der Dokumentation nicht klar, dass "-all" überhaupt gültige Syntax ist. Sie können [+/-] Protokoll machen, aber alles ist kein Protokoll: httpd.apache.org/docs/2.4/mod/mod_ssl.html - bobpaul