57 votes

David avatar

Comment désactiver TLS 1.0 et 1.1 dans Apache ?

Demandé el 4 de Mai, 2017
Quand la question a-t-elle été
155196 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quelqu'un sait-il pourquoi je ne peux pas désactiver tls 1.0 et tls1.1 en mettant à jour la configuration.

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Après avoir fait cela, j'ai rechargé apache. J'ai fait un scan ssl en utilisant ssllabs ou comodo ssl tool, et il dit toujours que tls 1.1 et 1.0 sont supportés. J'aimerais les supprimer ?

Demandé el 4 de Mai, 2017 par David

Réponses

Trop de publicités?

75voto

snowdude avatar
snowdude Points 2790

Lorsque vous avez plusieurs hôtes virtuels TLS et que vous utilisez l'indication de nom de serveur (SNI), il est permis d'avoir une syntaxe de type SSLProtocol pour chaque VirtualHost, mais à moins que vous n'ayez des VirtualHosts IP en pratique, les paramètres de la première occurrence de la directive SSLProtocol sont utilisées pour l'ensemble du serveur et/ou todos Serveurs virtuels basés sur des noms et supportant TLS 1 .

Vérifiez donc vos principaux httpd.conf (et tous les extraits inclus, par exemple dans conf.d/*.conf et autres inclusions similaires) pour plus d'occurrences de l'expression SSLProtocol directive.

Votre syntaxe est correcte, bien que je sois d'accord avec Réponse d'ezra-s que, lorsque vous élargissez le all vous pouvez légèrement l'améliorer :

 SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

en utilisant simplement :

 SSLProtocol TLSv1.2
Répondu el 4 de Mai, 2017 par snowdude (2790 Points )

11voto

ezra-s avatar
ezra-s Points 2122

Que vous avez spécifié est suffisant, il ne devrait pas afficher d'autres protocoles. N'oubliez pas que SSLLABS met en cache les tests récents. Même si le fait de savoir qu'il n'y a pas d'autres protocoles en le définissant comme vous l'avez fait est un peu alambiqué à dessein.

Dans tous les cas, vous pouvez utiliser cela ou simplement :

SSLProtocol TLSv1.2
Répondu el 4 de Mai, 2017 par ezra-s (2122 Points )

9voto

Shultisj avatar
Shultisj Points 71

Je me débattais également avec ce problème, en modifiant les configurations avec l'option SSLProtocol ne fonctionnait pas. J'ai fini par ajouter ce qui suit à la configuration de mon hôte virtuel :

SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2"

Ce qui a parfaitement fonctionné. Pour en savoir plus sur la SSLOpenSSLConfCmd directive aquí .

Répondu el 21 de Mars, 2019 par Shultisj (71 Points )

7voto

Narendra Kumar avatar
Narendra Kumar Points 61

Désactiver la version TLS1.0 dans Apache.

Si vous avez plusieurs hébergements virtuels, vous devez mettre à jour tous les fichiers de configuration, sinon, ssl.conf suffit.

Pour vérifier la version supportée par TSL :

# nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
|   TLSv1.0:
|   TLSv1.1:
|   TLSv1.2:

Modifier le fichier de configuration d'Apache vi /etc/httpd/conf.d/web.conf supprimer tout TLS et n'autoriser que TLS1.2.

SSLProtocol TLSv1.2

Valider après la modification.

# grep SSLProtocol /etc/httpd/conf.d/web.conf
SSLProtocol TLSv1.2

# nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
|   TLSv1.2:
# service httpd restart
Répondu el 12 de Décembre, 2018 par Narendra Kumar (61 Points )

2voto

Mathieu J. avatar
Mathieu J. Points 442

Vous pouvez activer TLS 1.2 et 1.3 de cette manière et désactiver tout ce qui est déprécié.

  SSLProtocol +TLSv1.2 +TLSv1.3
  SSLCipherSuite HIGH:!kRSA:!ADH:!eNULL:!LOW:!EXP:!MD5:!3DES

cdn77.com/tls-test result

Répondu el 18 de Août, 2020 par Mathieu J. (442 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X