Отключите TLSv1.0 и TLSv1.1 с помощью httpd
Я переезжаю из
Debian к
CentOS 7. Я использовал то же самое
Apache/httpd аргументы в моем
.config файлы.
Как-то
TLSv1.0 и
TLS1.1похоже, включен в
httpd.
Я протестировал свой активный
TLSверсии с использованием https://www.ssllabs.com/ssltest/analyze.html?d=jonas-heinze.de&hideResults=on и https://www.cdn77.com/tls-test
Под
Debian я использовал
SSLProtocol -ALL +TLSv1.2 чтобы отключить его.
Если я добавлю
-TLSv1 и
-TLSv1.1 он все еще включен.
Нужна ли мне другая конфигурация в
httpd?
4 ответа
Попробуйте установить
/etc/httpd/conf.d/ssl.conf как это:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
У меня та же проблема, и после исследования убедитесь, что в конфигурации виртуальных серверов явно используется:
SSLEngine включен
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
потому что использовать его только в ssl.conf недостаточно
Возможно, вам потребуется обновить пакеты openssl и httpd. Правильный синтаксис для apache2.4 должен быть
SSLProtocol все -SSLv3 -TLSv1 -TLSv1.1
Вы также должны перезапустить демон httpd после обновления и изменения конфигурации. Я бы рекомендовал использовать https://ssl-config.mozilla.org/ для создания вашей конфигурации SSL и адаптации ее к вашим потребностям.
Также убедитесь, что перед вашим сервером нет обратного прокси. В этом случае вам следует изменить соответствующие настройки на прокси-сервере.
Мне удалось исправить проблему. Сначала я попытался обновить свой сервер apache, который, похоже, обновлен (Apache 2.4.6). Затем я попробовал конфигурацию, предложенную @igrek51, и протестировал доступные версии TLS. Как-то это сработало на этот раз.
Спасибо за все ваши предложения и усилия, которые вы вложили в этот вопрос.
Хорошего дня
MrWaffelXD