Как включить или отключить версии SSL и TLS
17 февр. 2025 г.
Как включить или отключить версии SSL и TLS
Введение
Secure Socket Layer (SSL) и Transport Layer Security (TLS) - это криптографические протоколы, обеспечивающие безопасность связи по сети; например, клиент подключается к веб-серверу. В начале соединения TLS или SSL происходит «рукопожатие». Во время этого рукопожатия клиент и сервер выясняют, какие взаимные шифры и хэш-алгоритмы поддерживаются. Здесь же сервер предоставляет свой цифровой сертификат подключающемуся клиенту.
TLS является продолжением SSL. На протяжении многих лет в устаревших протоколах SSL и TLS обнаруживались и продолжают обнаруживаться уязвимости. По этой причине в конфигурации сервера следует отключить SSLv2, SSLv3, TLS 1.0 и TLS 1.1, оставив включенными только протоколы TLS 1.2 и 1.3.
Отключение SSLv2, SSLv3, TLSv1 и TLSv1.1
- APACHE
В зависимости от конфигурации, эти параметры могут потребоваться в нескольких местах.
Файл конфигурации Apache по умолчанию можно найти:
В системах на базе Debian / Ubuntu: /etc/apache2/apache2.conf
В системах на базе Red Hat / CentOS: /etc/httpd/conf/httpd.confЕсли он настроен на виртуальном хосте, конфигурационные файлы обычно будут такими:
В системах на базе Debian / Ubuntu: /etc/apache2/sites-enabled/
В системах на базе Red Hat / CentOS: /etc/httpd/sites-enabled/В конфигурационном файле (файлах) найдите запись «SSLProtocol» и измените ее так, чтобы она выглядела следующим образом:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1Это указывает Apache включить все протоколы, но отключить SSLv2, SSLv3, TLS 1.0 и TLS 1.1. Последним шагом будет перезапуск службы Apache:
service apache2 restart
или
service httpd restart
- NGINX
NGINX также может быть настроен в нескольких местах. Глобальный файл конфигурации NGINX находится в:
/etc/nginx/nginx.conf
Он также может находиться в конфигурациях отдельных серверных блоков в:
/etc/nginx/sites-enabled/
В конфигурационном файле (файлах) найдите запись «ssl_protocols» и измените ее на следующую:
ssl_protocols TLSv1.2;
Это указывает NGINX на включение только протокола TLS 1.2. Перезапустите NGINX, чтобы завершить изменения:
service nginx restart
- TOMCAT
Конфигурационный файл для Tomcat должен находиться в:
TOMCAT_HOME/conf/server.xmlTomcat 5 и 6 (до версии 6.0.38)
В файле server.xml найдите запись sslProtocols и убедитесь, что указан только протокол TLS 1.2:
sslProtocols = «TLSv1.2».Tomcat 6 и 7 (6.0.3.8 и новее)
В файле server.xml найдите запись sslEnabledProtocols и убедитесь, что указан только протокол TLS 1.2:
sslEnabledProtocols = «TLSv1.2»Перезапустите службу Tomcat, чтобы завершить изменения.
Включение версий TLS
- ANDROID
TLS 1.1 и TLS 1.2 поддерживаются в Android, начиная с уровня API 16+ (Android Jelly Bean):
https://developer.android.com/reference/javax/net/ssl/SSLSocket?hl=zh-cn
- APPLE
Включение TLS или SSL в Apple:
https://developer.apple.com/library/content/documentation/NetworkingInternetWeb/Conceptual/NetworkingOverview/SecureNetworking/SecureNetworking.html
Ссылки
1. Совместимость протоколов TLS
2. Пора отключить TLS 1.0 (и все версии SSL), если вы еще этого не сделали
Related Articles
Инструмент инвентаризации сертификатов (CIT)
Сканируйте конечные точки, чтобы найти все ваши сертификаты.
Войти / ЗарегистрироватьсяТест конфигурации SSL
Проверьте установку сертификата на наличие проблем и уязвимостей SSL.