17 февр. 2025 г.
Secure Socket Layer (SSL) и Transport Layer Security (TLS) - это криптографические протоколы, обеспечивающие безопасность связи по сети; например, клиент подключается к веб-серверу. В начале соединения TLS или SSL происходит «рукопожатие». Во время этого рукопожатия клиент и сервер выясняют, какие взаимные шифры и хэш-алгоритмы поддерживаются. Здесь же сервер предоставляет свой цифровой сертификат подключающемуся клиенту.
TLS является продолжением SSL. На протяжении многих лет в устаревших протоколах SSL и TLS обнаруживались и продолжают обнаруживаться уязвимости. По этой причине в конфигурации сервера следует отключить SSLv2, SSLv3, TLS 1.0 и TLS 1.1, оставив включенными только протоколы TLS 1.2 и 1.3.
В зависимости от конфигурации, эти параметры могут потребоваться в нескольких местах.
Файл конфигурации Apache по умолчанию можно найти:
В системах на базе Debian / Ubuntu: /etc/apache2/apache2.conf
В системах на базе Red Hat / CentOS: /etc/httpd/conf/httpd.conf
Если он настроен на виртуальном хосте, конфигурационные файлы обычно будут такими:
В системах на базе Debian / Ubuntu: /etc/apache2/sites-enabled/
В системах на базе Red Hat / CentOS: /etc/httpd/sites-enabled/
В конфигурационном файле (файлах) найдите запись «SSLProtocol» и измените ее так, чтобы она выглядела следующим образом:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
Это указывает Apache включить все протоколы, но отключить SSLv2, SSLv3, TLS 1.0 и TLS 1.1. Последним шагом будет перезапуск службы Apache:
service apache2 restart
или
service httpd restart
NGINX также может быть настроен в нескольких местах. Глобальный файл конфигурации NGINX находится в:
/etc/nginx/nginx.conf
Он также может находиться в конфигурациях отдельных серверных блоков в:
/etc/nginx/sites-enabled/
В конфигурационном файле (файлах) найдите запись «ssl_protocols» и измените ее на следующую:
ssl_protocols TLSv1.2;
Это указывает NGINX на включение только протокола TLS 1.2. Перезапустите NGINX, чтобы завершить изменения:
service nginx restart
Конфигурационный файл для Tomcat должен находиться в:
TOMCAT_HOME/conf/server.xml
Tomcat 5 и 6 (до версии 6.0.38)
В файле server.xml найдите запись sslProtocols и убедитесь, что указан только протокол TLS 1.2:
sslProtocols = «TLSv1.2».
Tomcat 6 и 7 (6.0.3.8 и новее)
В файле server.xml найдите запись sslEnabledProtocols и убедитесь, что указан только протокол TLS 1.2:
sslEnabledProtocols = «TLSv1.2»
Перезапустите службу Tomcat, чтобы завершить изменения.
TLS 1.1 и TLS 1.2 поддерживаются в Android, начиная с уровня API 16+ (Android Jelly Bean):
https://developer.android.com/reference/javax/net/ssl/SSLSocket?hl=zh-cn
1. Совместимость протоколов TLS
2. Пора отключить TLS 1.0 (и все версии SSL), если вы еще этого не сделали
Сканируйте конечные точки, чтобы найти все ваши сертификаты.
Войти / ЗарегистрироватьсяПроверьте установку сертификата на наличие проблем и уязвимостей SSL.