10 ago 2022
Secure Socket Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que proporcionan seguridad de comunicación a través de una red; por ejemplo, un cliente que se conecta a un servidor web. Al comenzar una conexión TLS o SSL se realiza un "apretón de manos" (handshake), durante este apretón de manos el cliente y el servidor resolverán que cifrados y algoritmos hash mutuos son compatibles. Aquí, también, es donde el servidor proporcionará el certificado digital al cliente que se conecta.
TLS es la continuación de SSL. Con los años, se han descubierto, y se siguen descubriendo, vulnerabilidades en los protocolos SSL y TLS en desuso. Por esta razón, se debe deshabilitar SSLv2, SSLv3, TLS 1.0 y TLS 1.1 en la configuración de su servidor, dejando solo los protocolos TLS 1.2 y 1.3 habilitados.
Dependiendo de su configuración, esto puede necesitar ser cambiado en múltiples ubicaciones.
El archivo de configuración predeterminado de Apache se puede encontrar:
En sistemas basados en Debian/Ubuntu: /etc/apache2/apache2.conf
En sistemas basados en Red Hat/CentOS: /etc/httpd/conf/httpd.conf
Si está configurado en un host virtual, los archivos de configuración generalmente serán:
En sistemas basados en Debian/Ubuntu: /etc/apache2/sites-enabled/
En sistemas basados en Red Hat/CentOS: /etc/httpd/sites-enabled/
En los archivos de configuración, busque la entrada "SSLProtocol" y modifíquela para que se vea así:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
Esto le dice a Apache que habilite todos los protocolos, pero deshabilite SSLv2, SSLv3, TLS 1.0 y TLS 1.1. El último paso es reiniciar el servicio Apache:
service apache2 restart
o
service httpd restart
NGINX también se puede configurar en varios lugares. El archivo de configuración global de NGINX se encuentra en:
/etc/nginx/nginx.conf
También puede estar en configuraciones de bloque de servidor individuales en:
/etc/nginx/sites-enabled/
En sus archivos de configuración, busque la entrada para "ssl_protocols" y modifíquela para que coincida con lo siguiente:
ssl_protocols TLSv1.2;
Esto le dirá a NGINX que solo habilite el protocolo TLS 1.2. Reinicie NGINX para completar los cambios:
service nginx restart
El archivo de configuración para Tomcat debe estar en:
TOMCAT_HOME/conf/server.xml
Tomcat 5 & 6 (antes de 6.0.38)
Dentro de server.xml, busque la entrada sslProtocols y asegúrese de que solo se especifique el protocolo TLS 1.2:
sslProtocols = "TLSv1.2"
Tomcat 6 & 7 (6.0.3.8 y más recientes)
Dentro del archivo server.xml, busque la entrada sslEnabledProtocols y asegúrese de que solo se especifique el protocolo TLS 1.2:
sslEnabledProtocols = "TLSv1.2"
Reinicie el servicio Tomcat para completar los cambios.
TLS 1.1 y TLS 1.2 son compatibles con Android a partir del nivel de API 16+ (Android Jelly Bean):
https://developer.android.com/reference/javax/net/ssl/SSLSocket?hl=zh-cn
Habilitación de TLS o SSL en Apple:
1. Compatibilidad de Protocolo TLS
2. Es hora de Deshabilitar TLS 1.0 (y todas las versiones SSL) Si Aún No Lo Ha Hecho
Escanee sus puntos finales (endpoints) para localizar todos sus Certificados.
RegistrarseVerifique la instalación de su certificado para detectar problemas y vulnerabilidades de SSL.