Jak włączyć TLS 1.3/1.2 w Apache

Wszystkie wersje SSL i TLS starsze niż 1.2 mają wiele znanych luk, takich jak Poodle (CVE-2014-3566), dlatego najnowsze przeglądarki usunęły obsługę tych wrażliwych protokołów. Zalecamy również przeniesienie serwera do korzystania z wersji TLS, a konkretnie do TLS 1.2. Ten samouczek pomoże ci włączyć TLS 1.2 i tls 1.3 w serwerach MOD_SSL i Apache.

• Zainstaluj i użyj Let's Encrypt SSL z Apache

Wymagania wstępne

Aby włączyć TLS 1.3 Musisz mieć Apache wersja 2.4.38 lub więcej w twoim systemie. Wyszukaj także plik konfiguracyjny wirtualnego hosta SSL swój system.

Ogólnie systemy oparte na debian mają tam pliki /etc/apache2/witryny informator.

A system oparty na Redhat (RPM) ma tam konfigurację /etc/httpd/conf/httpd.conf plik lub plik zwrotny poniżej /etc/httpd/conf.D informator.

Włącz TLS 1.2 Tylko w Apache

Najpierw edytuj sekcję wirtualnego hosta dla swojej domeny w pliku konfiguracyjnym Apache SSL na serwerze i dodaj ustawić ustawę Sslprotocol Jak następujące. Wyłączy to wszystkie starsze protokoły i Twój serwer Apache i włączy TLSV1.Tylko 2.

 Sslprotocol -all +tlsv1.2 

Minimalny wirtualny host Apache z SSL wygląda tak:

 Servername www.przykład.com dokumentroot/var/www/html SSLENGINE na sslprotocol -all +tlsv1.2 SSLCertificateFile/etc/LetsEncrypt/Live/przykład.com/cert.PEM SSLCertificateKeKeyFile/Etc/LetsEncrypt/Live/Expt.com/privey.pem  

Włącz TLS 1.3 i 1.2 Oba w Apache

Apache wersja 2.4.38 lub wyższe wersje obsługują TLS V1.3. Musisz zaktualizować pakiety Apache przed włączeniem TLS 1.3 w ustawieniach SSL.

 Sslprotocol -all +tlsv1.2 +TLSV1.3 

Najprostszy VirtualHost Apache z SSL wygląda jak poniżej

 Servername www.przykład.com dokumentroot/var/www/html SSLENGINE na sslprotocol -all +tlsv1.2 +TLSV1.3 sslcertificateFile/etc/limsecrrypt/na żywo/przykład.com/cert.PEM SSLCertificateKeKeyFile/Etc/LetsEncrypt/Live/Expt.com/privey.pem  

Po wprowadzeniu zmian w pliku konfiguracyjnym uruchom ponownie usługę Apache, aby zastosować nowe ustawienia.