Новость

25-06-18

Как отключить устаревшие версии SSL/TLS в Apache

Начиная с 30 июня 2018, для совместимости с PCI владельцы сайтов должны отказаться от поддержки TLS 1.0. Протоколы TLS 1.0/1.1 и SSL 2.0/3.0 являются устаревшими. Они не дают должной защиты при передаче данных. В частности, TLS 1.0 содержит уязвимости для некоторых атак. Представленные выше версии протоколов должны быть удалены в средах, требующих высокого уровня безопасности.

Практически все современные браузеры поддерживают TLS 1.2. Ниже мы рассмотрим, как отключить версии TLS 1.0/1.1 и SSL 2.0/3.0 в Apache.

1.Используем vi (или vim) для редактирования ssl.conf (обычно находится в папке /etc/httpd/conf.d).

2.Ищем раздел SSL Protocol Support. Он имеет вид:

#   SSL Protocol support:

# List the enable protocol levels with which clients will be able to

# connect.  Disable SSLv2 access by default:

SSLProtocol all -SSLv2 -SSLv3 

3.Комментируем строку SSLProtocol all -SSLv2 -SSLv3, добавив перед ней символ решетки.

4.Добавляем под ней строку:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

5.Мы отключили TLS 1.0/1.1 и SSL 2.0/3.0. Далее ищем секцию SSL Cipher Suite.

#   SSL Cipher Suite:

# List the ciphers that the client is permitted to negotiate.

# See the mod_ssl documentation for a complete list.

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

6.Комментируем строку SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA и добавляем под ней следующее:

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

Этот параметр гарантирует использование SSL-кодов только с высокой степенью защиты.

Также добавьте под SSLCipherSuite HIGH:!aNULL:!MD5:!3DES строку:

SSLHonorCipherOrder on

Этот параметр гарантирует, что будут использоваться предпочтения кодов сервера, а не клиентские предпочтения.

Сохраняем файл и перезапускаем Apache. 

service httpd restart

Далее тестируем все приложения, которые взаимодействуют с вашим сервером. Если у вас возникнут какие-либо проблемы, вы можете снять комментарии и вернуться к прошлой версии файла.

Следуйте за лучшими практиками в области SSL вместе с ЛидерТелеком!