10 ago. 2022

Cómo activar o desactivar las versiones SSL y TLS

Introducción

Secure Socket Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que proporcionan seguridad de comunicación a través de una red; por ejemplo, un cliente que se conecta a un servidor web. Al comenzar una conexión TLS o SSL se realiza un "apretón de manos" (handshake), durante este apretón de manos el cliente y el servidor resolverán que cifrados y algoritmos hash mutuos son compatibles. Aquí, también, es donde el servidor proporcionará el certificado digital al cliente que se conecta.

TLS es la continuación de SSL. Con los años, se han descubierto, y se siguen descubriendo, vulnerabilidades en los protocolos SSL y TLS en desuso. Por esta razón, se debe deshabilitar SSLv2, SSLv3, TLS 1.0 y TLS 1.1 en la configuración de su servidor, dejando solo los protocolos TLS 1.2 y 1.3 habilitados.

Deshabilitar SSLv2, SSLv3, TLSv1 y TLSv1.1

APACHE

Dependiendo de su configuración, esto puede necesitar ser cambiado en múltiples ubicaciones.

El archivo de configuración predeterminado de Apache se puede encontrar:
En sistemas basados en Debian/Ubuntu: /etc/apache2/apache2.conf
En sistemas basados en Red Hat/CentOS: /etc/httpd/conf/httpd.conf

Si está configurado en un host virtual, los archivos de configuración generalmente serán:
En sistemas basados en Debian/Ubuntu: /etc/apache2/sites-enabled/ 
En sistemas basados en Red Hat/CentOS: /etc/httpd/sites-enabled/

En los archivos de configuración, busque la entrada "SSLProtocol" y modifíquela para que se vea así: 
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Esto le dice a Apache que habilite todos los protocolos, pero deshabilite SSLv2, SSLv3, TLS 1.0 y TLS 1.1. El último paso es reiniciar el servicio Apache:

service apache2 restart
o
service httpd restart

NGINX

NGINX también se puede configurar en varios lugares. El archivo de configuración global de NGINX se encuentra en:
/etc/nginx/nginx.conf

También puede estar en configuraciones de bloque de servidor individuales en:
/etc/nginx/sites-enabled/

En sus archivos de configuración, busque la entrada para "ssl_protocols" y modifíquela para que coincida con lo siguiente:
ssl_protocols TLSv1.2;

Esto le dirá a NGINX que solo habilite el protocolo TLS 1.2. Reinicie NGINX para completar los cambios:
service nginx restart

TOMCAT

El archivo de configuración para Tomcat debe estar en:
TOMCAT_HOME/conf/server.xml

Tomcat 5 & 6 (antes de 6.0.38)
Dentro de server.xml, busque la entrada sslProtocols y asegúrese de que solo se especifique el protocolo TLS 1.2:
sslProtocols = "TLSv1.2"

Tomcat 6 & 7 (6.0.3.8 y más recientes)
Dentro del archivo server.xml, busque la entrada sslEnabledProtocols y asegúrese de que solo se especifique el protocolo TLS 1.2:
sslEnabledProtocols = "TLSv1.2"

Reinicie el servicio Tomcat para completar los cambios.

Habilitar versiones de TLS

ANDROID

TLS 1.1 y TLS 1.2 son compatibles con Android a partir del nivel de API 16+ (Android Jelly Bean):

https://developer.android.com/reference/javax/net/ssl/SSLSocket?hl=zh-cn

APPLE

Habilitación de TLS o SSL en Apple:

https://developer.apple.com/library/content/documentation/NetworkingInternetWeb/Conceptual/NetworkingOverview/SecureNetworking/SecureNetworking.html

Referencias

1. Compatibilidad de Protocolo TLS
2. Es hora de Deshabilitar TLS 1.0 (y todas las versiones SSL) Si Aún No Lo Ha Hecho