29 de nov. de 2021

Como activar ou desactivar as versões SSL e TLS

Introdução

Secure Socket Layer (SSL) e Transport Layer Security (TLS) são protocolos criptográficos que fornecem segurança de comunicação em uma rede. Por exemplo, um cliente se conectando a um servidor web. Um “handshake” é feito no início de uma conexão TLS ou SSL. Durante esse handshake, o cliente e o servidor descobrirão quais cifras mútuas e algoritmos de hash (hash algorithms) são suportados. É também aqui que um servidor fornece o seu certificado digital para um cliente que se conecta.

TLS é a continuação do SSL. Ao longo dos anos, as vulnerabilidades foram e continuam sendo descobertas nos protocolos SSL e TLS descontinuados. Por esse motivo, deve desativar o SSLv2, SSLv3, TLS 1.0 e TLS 1.1 na configuração do servidor, deixando apenas os protocolos TLS 1.2 e 1.3 ativados.

Desativando o SSLv2, SSLv3, TLSv1, e TLSv1.1

 

APACHE

Dependendo da sua configuração, pode precisar ser alterado em vários locais.

O arquivo de configuração padrão do Apache pode ser encontrado:
Em sistemas baseados no Debian / Ubunto: /etc/apache2/apache2.conf
Nos sistemas baseados no Red Hat / CentOS: /etc/httpd/conf/httpd.conf

Se estiver configurado em um host virtual, os arquivos de configuração geralmente são:
Em sistemas baseados no Debian / Ubunto: /etc/apache2/sites-enabled/ 
Nos sistemas baseados no Red Hat / CentOS: /etc/httpd/sites-enabled/

Nos seus arquivos de configuração, localize a entrada “SSLProtocol” e modifique-a para:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Esta acção irá instruir o Apache a ativar todos os protocolos, mas desabilita o SSLv2, SSLv3, TLS 1.0 e TLS 1.1 . A última étapa é reiniciar o serviço Apache:

service apache2 restart
or
service httpd restart
 

 

NGINX

O NGINX também pode ser configurado em vários locais. O arquivo de configuração global do NGINX está localizado em
/etc/nginx/nginx.conf

Também pode estar em configurações de bloco de servidor individuais em:
/etc/nginx/sites-enabled/

Nos seus arquivos de configuração, localize a entrada para “ssl_protocols” e modifique-a para corresponder ao seguinte
ssl_protocols TLSv1.2;

Esta ação irá instruir o NGINX a ativar apenas o protocolo TLS1.2 . Reinicie o NGINX para concluir as alterações:
service nginx restart
 

TOMCAT

O arquivo de configuração do Tomcat deve estar em:
TOMCAT_HOME/conf/server.xml

Tomcat 5 & 6 (anterior á 6.0.38)
No server.xml, localize a entrada sslProtocols e verifique se apenas o protocol TLS 1.2 está especificado:
sslProtocols = "TLSv1.2"

Tomcat 6 & 7 (6.0.3.8 e mais recente)
No arquivo server.xml, localize a entrada sslEnabledProtocols e verifique se apenas o protocolo TLS 1.2 está especificado:
sslEnabledProtocols = "TLSv1.2"

Reinicie o serviço Tomcat para concluir as alterações.

 

 

 

 

 

 

Ativando Versões TLS

ANDROID

O TLS 1.1 e o TLS 1.2 são compativeis com a API inicial do Android, nível 16+ (Android Jelly Bean):
https://developer.android.com/reference/javax/net/ssl/SSLSocket?hl=zh-cn

 

APPLE

Ativando TLS ou SSL na Apple: https://developer.apple.com/library/content/documentation/NetworkingInternetWeb/Conceptual/NetworkingOverview/SecureNetworking/SecureNetworking.html

Referências

1. Compatibilidade do Protocolo TLS
2. É altura de desativar o TLS 1.0 (e todas as versões SSL) se ainda não o fez