en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Deaktivieren TLS 1.0 und 1.1 in Apache und Nginx

Alle Versionen des SSL /TLS Protokoll vor TLS 1.2 sind jetzt veraltet und gelten als unsicher. Viele Webserver-Plattformen haben noch TLS 1.0 und TLS 1.1 standardmäßig aktiviert. Alle modernen Webbrowser sind jedoch kompatibel mit TLS 1.2. Aus diesem Grund ist es für Websitebesitzer eine gute Idee, ihre Serverkonfiguration zu überprüfen, um sicherzustellen, dass nur aktuelle, sichere Versionen von SSL /TLS sind aktiviert und alle anderen (einschließlich TLS 1.0, TLS 1.1 und SSL 3.0) sind deaktiviert.

Dieses Handbuch enthält Anweisungen zum Überprüfen, welche Versionen von SSL /TLS sind auf einer Website aktiviert und deaktivieren veraltete Versionen von SSL /TLS in Apache und Nginx und zeigt Beispiele für Browserfehler, die von Servern herrühren, auf denen nur veraltete, unsichere Versionen von SSL / ausgeführt werdenTLS.

Aktivieren Sie Aktiviertes SSL /TLS Versionen

Online-Tools

Sie können die Versionen von SSL / schnell überprüfenTLS Ihre Website wird durch den Besuch von CDN77 unterstützt TLS Checker und geben Sie den Domainnamen ein, den Sie überprüfen möchten. Wie unten zu sehen ist, https://example.com Deaktiviert derzeit die SSL-Versionen 2 und 3, aktiviert jedoch alle Versionen von TLS (einschließlich der veralteten TLS 1.1 und 1.0):

SSL /TLS Von example.com unterstützte Versionen

Nmap

Sie können auch nach SSL / suchenTLS Versionen und Chiffren, die von einer Website mit Open Source unterstützt werden nmap Befehlszeilenprogramm:

nmap --script ssl-enum-ciphers -p

Der Standardport für SSL /TLS is 443. Der folgende Befehl generiert einen Bericht für example.com:

$ nmap --script ssl-enum-ciphers -p 443 example.com Startet Nmap 7.80 (https://nmap.org) um 2020-08-25 13:10 EDT Nmap-Scanbericht für example.com (93.184.216.34) Host ist aktiv (0.031s Latenz). Andere Adressen für example.com (nicht gescannt): 2606: 2800: 220: 1: 248: 1893: 25c8: 1946 PORT STATE SERVICE 443 / tcp open https | ssl-enum-chiffren: |   TLSv1.0: | Chiffren: |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A |       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | Kompressoren: | NULL | Verschlüsselungspräferenz: Server |   TLSv1.1: | Chiffren: |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A |       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | Kompressoren: | NULL | Verschlüsselungspräferenz: Server |   TLSv1.2: | Chiffren: |       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A |       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A |       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | Kompressoren: | NULL | Verschlüsselungspräferenz: Server | _ geringste Stärke: Eine Nmap durchgeführt: 1 IP-Adresse (1 Host hoch) in 3.88 Sekunden gescannt

Server Configuration

Apache

Etwas deaktivieren TLS 1.0 und 1.1 in Apache müssen Sie die Konfigurationsdatei bearbeiten, die das enthält SSLProtocol Richtlinie für Ihre Website. Diese Datei befindet sich je nach Plattform, Version oder anderen Installationsdetails an verschiedenen Orten. Einige mögliche Standorte sind:

  • /usr/local/apache2/conf/extra/httpd-ssl.conf (Standardinstallation von Apache)
  • /etc/apache2/mods-enabled/ssl.conf (Ubuntu / Debian)
  • /private/etc/apache2/extra/httpd-ssl.conf (Mac OS)

Wenn Sie die richtige Konfigurationsdatei gefunden haben, suchen Sie nach einer Zeile, die mit beginnt SSLProtocol. In diesem Beispiel wird bei einer Standardinstallation von macOS Apache SSLv3 mit dem deaktiviert - Betreiber aber ermöglicht TLS 1.0 und 1.1:

SSLProtokoll alle -SSLv3

Sie können alle veralteten Versionen von SSL / deaktivierenTLS wird von Apache unterstützt, indem sie wie folgt angegeben werden:

SSLProtokoll alle -SSLv3 -TLSv1 -TLSv1.1

Die obige Konfiguration aktiviert TLS 1.2 sowie TLS 1.3 wenn es in Ihrer Umgebung verfügbar ist.

Apache und virtuelle Hosts

Apache kann mehr als eine Website auf einem einzelnen Server ausführen. Diese virtuelle Hosts kann auf der IP-Nummer, dem Port oder dem Domänennamen basieren und Einstellungen enthalten, die die Basiskonfiguration für Apache überschreiben. Aus diesem Grund sollten Sie die Einstellungen für jeden virtuellen Host in Ihren Konfigurationsdateien überprüfen, insbesondere wenn Sie Änderungen am Basis-SSL / vornehmenTLS Konfiguration scheint nicht zu funktionieren.

Für Versionen von Apache vor 2.4.42 (erstellt / verknüpft mit OpenSSL vor 1.1.1) war es nicht möglich, unterschiedliche SSL / anzugeben.TLS Protokolle für namenbasierte virtuelle Hosts, die dieselbe Basis-IP-Nummer und denselben Port verwenden - die SSLProtocol des ersten virtuellen Hosts wurde auf alle anderen angewendet. Beginnend mit Apache 2.4.42 / OpenSSL 1.1.1 wird die SSLProtocol jedes namenbasierten virtuellen Hosts wird berücksichtigt, wenn der Servernamensanzeige (SNI) wird vom Kunden während des bereitgestellt SSL /TLS Handschlag.

Nachdem Sie Ihre Konfigurationsänderungen vorgenommen haben, laden Sie Apache neu, um sie zu übernehmen. Weitere Informationen zum SSLProtocol Richtlinie beziehen sich bitte auf Apache Dokumentation.

Nginx

SSL /TLS Protokolleinstellungen können in der primären Nginx-Konfigurationsdatei angegeben werden (normalerweise unter /etc/nginx/nginx.conf) oder in Ihren Site-Konfigurationsdateien. Suchen Sie nach einer Zeile, die mit beginnt ssl_protocols. Das Folgende ist beispielsweise die Standardeinstellung nginx.conf Datei von einer neuen Nginx-Installation unter Ubuntu:

ssl_protokolle TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # SSLv3 löschen, ref: POODLE

Sie können diese Zeile so bearbeiten, dass nur aktuelle, sichere Versionen von SSL /TLS sind inklusive:

ssl_protokolle TLSv1.2 TLSv1.3;

Beachten Sie, dass alle Einstellungen in Ihrer Standard-SSL-Konfiguration möglicherweise durch Serverblöcke überschrieben werden, die einzelne Domänennamen konfigurieren. Überprüfen Sie daher, ob Änderungen an Ihren Protokolleinstellungen auf Ihrer Website nicht berücksichtigt werden.

Nachdem Sie Ihre Konfigurationsänderungen vorgenommen haben, laden Sie Nginx neu, um sie zu übernehmen. Weitere Informationen finden Sie in der Dokumentation von Nginx unter Konfigurieren von HTTPS-Servern.

TLS 1.0 und 1.1 Browserfehler

Parce que TLS Die Versionen 1.0 und 1.1 gelten derzeit als unsicher. Die meisten modernen Browser geben eine Fehlermeldung aus, wenn sie auf eine Website stoßen, auf der diese veraltet sind TLS Versionen sind aber aktiviert TLS 1.2 oder 1.3 ist nicht. Beispiele für diese Fehler sind nachstehend aufgeführt:

Google Chrome

Chrome-Tests wurden mit Chrome 84 unter Windows 10 durchgeführt. Screenshots stammen von Chrome. Beachten Sie, dass die aktuelle Version von Microsoft Edge (basierend auf Chromium) denselben Fehlercode wie Chrome anzeigt, zusammen mit einem etwas anderen Text.

Google Chrome zeigt die folgende Fehlermeldung an, wenn eine Verbindung zu einer laufenden Website hergestellt wird TLS 1.0 oder 1.1:

Ihre Verbindung ist nicht vollständig sicher
Diese Site verwendet eine veraltete Sicherheitskonfiguration, die Ihre Informationen (z. B. Passwörter, Nachrichten oder Kreditkarten) offenlegt, wenn sie an diese Site gesendet werden.
NET::ERR_SSL_OBSOLETE_VERSION

TLS 1.0 Fehlermeldung in ChromeDurch Klicken auf die Erweitert Auf der Schaltfläche wird die folgende Meldung sowie ein Link zum Fortfahren zur Website mit der Bezeichnung angezeigt unsicher:

Die zum Laden dieser Site verwendete Verbindung wird verwendet TLS 1.0 oder TLS 1.1, die veraltet sind und in Zukunft deaktiviert werden. Nach der Deaktivierung können Benutzer diese Site nicht mehr laden. Der Server sollte aktivieren TLS 1.2 oder höher.

Erweiterte Informationen zu TLS 1.0 und 1.1 in Chrome

Mozilla Firefox

Firefox-Tests wurden mit Firefox 79.0 unter Windows 10 durchgeführt.

Mozilla Firefox erzeugt die folgende Fehlermeldung, wenn eine Verbindung zu einer laufenden Website hergestellt wird TLS 1.0 oder 1.1:

Sichere Verbindung fehlgeschlagen
Bei einer Verbindung zu [URL] ist ein Fehler aufgetreten. Peer mit nicht unterstützter Version des Sicherheitsprotokolls.
Fehlercode: SSL_ERROR_UNSUPPORTED_VERSION
...
Diese Website unterstützt möglicherweise nicht die TLS 1.2-Protokoll, die von Firefox unterstützte Mindestversion. Aktivieren TLS 1.0 und 1.1 ermöglichen möglicherweise den Erfolg dieser Verbindung.
TLS 1.0 und TLS 1.1 wird in einer zukünftigen Version dauerhaft deaktiviert.

Firefox TLS 1.0 und 1.1 Fehlermeldung

Durch Klicken auf die Ermöglichen TLS 1.0 und 1.1 Die Schaltfläche kann beim Laden der Website hilfreich sein, ist jedoch keine einmalige Ausnahme. Zum erneuten Deaktivieren TLS 1.0 und 1.1 gehen Sie zu about:config in Firefox und setzen security.tls.version.enable-deprecated zu false.

Sicherheit einstellen.tls.version.enable-veraltet auf false

Apple Safari

Safari-Tests wurden mit Safari Version 13.1.2 unter macOS 10.15.6 (Catalina) durchgeführt.

Apples Safari-Browser lädt HTTPS-Websites mit TLS 1.0 und 1.1, zeigt jedoch in der Adressleiste des Browsers die Meldung "Nicht sicher" an.

TLS 1.0 Site in Apple Safari

Für mehr Informationen

Lesen Sie mehr über die Sicherheitsprobleme, die mit früheren Versionen von verbunden sind TLS, bitte lesen Sie unseren Artikel, Früh abwerten TLS für ein sichereres Internet. Weitere Informationen zu den wichtigen Unterschieden zwischen TLS 1.2 und TLS 1.3, check out TLS 1.3 ist hier um zu bleiben.

Und wie immer, wenn Sie Fragen haben, kontaktieren Sie uns bitte per E-Mail unter Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis. Vielen Dank für Ihren Besuch auf SSL.com!

Teilen auf Twitter
Twitter
Share on Facebook
Facebook
Bei LinkedIn teilen
LinkedIn
Empfehlen über reddit
reddit
Teilen Sie per E-Mail
E–Mail