क्या किसी को पता है कि मैं tls 1.0 और tls1.1 को अक्षम क्यों नहीं कर सकता, इसके लिए विन्यास को अद्यतन करके।
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
ऐसा करने के बाद, मैं अपाचे को फिर से लोड करता हूं मैं ssllabs या comodo ssl टूल का उपयोग करके ssl स्कैन करता हूं, और यह अभी भी कहता है कि tls 1.1 और 1.0 समर्थित हैं। मैं इनको दूर करना चाहूंगा?
जवाबों:
जब आपके पास कई TLS VirtualHosts हैं और सर्वर नाम इंडिकेशन (SNI) का उपयोग करते हैं, तो यह SSLProtocol प्रत्येक VirtualHost के लिए एक निर्देशन करने के लिए एक अनुमत सिंटैक्स है , लेकिन जब तक आपके पास IP VirtualHosts नहीं होता है तब तक SSLProtocolनिर्देशन की पहली घटना से सेटिंग पूरे सर्वर के लिए उपयोग की जाती है। और / या सभी नाम आधारित VirtualHosts TLS 1 का समर्थन करते हैं ।
इसलिए अपने मुख्य httpd.conf(और सभी शामिल स्निपेट उदाहरण के लिए conf.d/*.confऔर समान शामिल हैं) को SSLProtocolनिर्देश के अधिक घटनाओं के लिए जांचें ।
आप वाक्यविन्यास सही है, हालांकि मैं एज्रा के जवाब से सहमत हूं कि, जब आप allआशुलिपि का विस्तार करते हैं, तो आप इस पर थोड़ा सुधार कर सकते हैं:
SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
बस का उपयोग करके:
SSLProtocol TLSv1.2
/etc/letsencrypt/options-ssl-apache.conf
आपके द्वारा निर्दिष्ट पर्याप्त है, यह किसी अन्य प्रोटोकॉल को नहीं दिखाना चाहिए। याद रखें कि SSLLABS हाल के परीक्षणों को कैश करता है। यद्यपि यह जानते हुए भी कि इसे परिभाषित करने वाले कोई अन्य प्रोटोकॉल नहीं हैं, जैसे आपने उद्देश्य पर विचार किया है।
किसी भी मामले में आप इसका उपयोग कर सकते हैं या बस:
SSLProtocol TLSv1.2
-ALL +TLSv1.2?
मैं इस मुद्दे के साथ भी संघर्ष कर रहा था, SSLProtocolनिर्देश के साथ कॉन्फ़िगर को संशोधित करना काम नहीं कर रहा था। मैंने अपने वर्चुअल होस्ट कॉन्फ़िगरेशन में निम्नलिखित को शामिल किया:
SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2"
जो पूरी तरह से काम किया। आप यहांSSLOpenSSLConfCmd निर्देश के बारे में अधिक पढ़ सकते हैं ।
Apache में TLS1.0 संस्करण अक्षम करें।
यदि आपके पास कई वर्चुअल होस्टिंग हैं, तो आपको सभी कॉन्फ़िगरेशन फ़ाइल को अपडेट करना होगा, अन्यथा, ssl.conf पर्याप्त है।
TSL समर्थन संस्करण की जाँच करने के लिए:
# nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
| TLSv1.0:
| TLSv1.1:
| TLSv1.2:
अपाचे कॉन्फ़िगरेशन फ़ाइल vi /etc/httpd/conf.d/web.confको संशोधित करें सभी TLS निकालें और केवल TLS1.2 की अनुमति दें।
SSLProtocol TLSv1.2
संशोधन के बाद मान्य करें।
# grep SSLProtocol /etc/httpd/conf.d/web.conf
SSLProtocol TLSv1.2
# nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
| TLSv1.2:
# service httpd restart
परिवर्तनों को प्रतिबिंबित करने के लिए आपको अपाचे सेवा को फिर से शुरू करने की आवश्यकता है।
sudo service apache2 restart
नीचे दिए गए कोड मेरे लिए ठीक काम करेंगे, आप अधिक जानकारी प्राप्त करने के लिए इस लेख को देख सकते हैं, https://karthikekblog.com/how-to-disable-enable-ssl-tls-protocols-in-ubentu-apache-linux-server/
<VirtualHost *:443>
ServerName www.yourdomain.com
DocumentRoot /var/www/html
SSLEngine on
SSLProtocol +TLSv1.2
SSLCertificateFile /etc/apache2/certificates/certificate.crt
SSLCertificateKeyFile /etc/apache2/certificates/certificate.key
SSLCertificateChainFile /etc/apache2/certificates/intermediate.crt
</VirtualHost>