Как включить или отключить версии SSL и TLS

17 февр. 2025 г.

Как включить или отключить версии SSL и TLS

Введение 

Secure Socket Layer (SSL) и Transport Layer Security (TLS) - это криптографические протоколы, обеспечивающие безопасность связи по сети; например, клиент подключается к веб-серверу. В начале соединения TLS или SSL происходит «рукопожатие». Во время этого рукопожатия клиент и сервер выясняют, какие взаимные шифры и хэш-алгоритмы поддерживаются. Здесь же сервер предоставляет свой цифровой сертификат подключающемуся клиенту. 

TLS является продолжением SSL. На протяжении многих лет в устаревших протоколах SSL и TLS обнаруживались и продолжают обнаруживаться уязвимости. По этой причине в конфигурации сервера следует отключить SSLv2, SSLv3, TLS 1.0 и TLS 1.1, оставив включенными только протоколы TLS 1.2 и 1.3. 

Отключение SSLv2, SSLv3, TLSv1 и TLSv1.1 

  • APACHE 
     

    В зависимости от конфигурации, эти параметры могут потребоваться в нескольких местах. 

    Файл конфигурации Apache по умолчанию можно найти: 
    В системах на базе Debian / Ubuntu: /etc/apache2/apache2.conf 
    В системах на базе Red Hat / CentOS: /etc/httpd/conf/httpd.conf 

    Если он настроен на виртуальном хосте, конфигурационные файлы обычно будут такими: 
    В системах на базе Debian / Ubuntu: /etc/apache2/sites-enabled/ 
    В системах на базе Red Hat / CentOS: /etc/httpd/sites-enabled/ 

    В конфигурационном файле (файлах) найдите запись «SSLProtocol» и измените ее так, чтобы она выглядела следующим образом: 
    SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 

    Это указывает Apache включить все протоколы, но отключить SSLv2, SSLv3, TLS 1.0 и TLS 1.1. Последним шагом будет перезапуск службы Apache: 

    service apache2 restart 
    или 
    service httpd restart 
     

  • NGINX 
     

    NGINX также может быть настроен в нескольких местах. Глобальный файл конфигурации NGINX находится в: 

    /etc/nginx/nginx.conf 

    Он также может находиться в конфигурациях отдельных серверных блоков в: 

    /etc/nginx/sites-enabled/ 

    В конфигурационном файле (файлах) найдите запись «ssl_protocols» и измените ее на следующую: 

    ssl_protocols TLSv1.2; 

    Это указывает NGINX на включение только протокола TLS 1.2. Перезапустите NGINX, чтобы завершить изменения: 

    service nginx restart
     

  • TOMCAT 
     

    Конфигурационный файл для Tomcat должен находиться в: 
    TOMCAT_HOME/conf/server.xml 

    Tomcat 5 и 6 (до версии 6.0.38) 
    В файле server.xml найдите запись sslProtocols и убедитесь, что указан только протокол TLS 1.2: 
    sslProtocols = «TLSv1.2». 

    Tomcat 6 и 7 (6.0.3.8 и новее) 
    В файле server.xml найдите запись sslEnabledProtocols и убедитесь, что указан только протокол TLS 1.2: 
    sslEnabledProtocols = «TLSv1.2» 

    Перезапустите службу Tomcat, чтобы завершить изменения. 

Включение версий TLS 

Ссылки 

1. Совместимость протоколов TLS 
2. Пора отключить TLS 1.0 (и все версии SSL), если вы еще этого не сделали 

Related Articles

Система оповещения GlobalSign

Просмотр последних системных оповещений.

Просмотр оповещений

Инструмент инвентаризации сертификатов (CIT)

Сканируйте конечные точки, чтобы найти все ваши сертификаты.

Войти / Зарегистрироваться

Тест конфигурации SSL

Проверьте установку сертификата на наличие проблем и уязвимостей SSL.

Связаться с поддержкой