Alle Versionen des SSL /TLS Protokoll vor TLS 1.2 sind jetzt veraltet und gelten als unsicher. Viele Webserver-Plattformen haben noch TLS 1.0 und TLS 1.1 standardmäßig aktiviert. Alle modernen Webbrowser sind jedoch kompatibel mit TLS 1.2. Aus diesem Grund ist es für Websitebesitzer eine gute Idee, ihre Serverkonfiguration zu überprüfen, um sicherzustellen, dass nur aktuelle, sichere Versionen von SSL /TLS sind aktiviert und alle anderen (einschließlich TLS 1.0, TLS 1.1 und SSL 3.0) sind deaktiviert.
Dieses Handbuch enthält Anweisungen zum Überprüfen, welche Versionen von SSL /TLS sind auf einer Website aktiviert und deaktivieren veraltete Versionen von SSL /TLS in Apache und Nginx und zeigt Beispiele für Browserfehler, die von Servern herrühren, auf denen nur veraltete, unsichere Versionen von SSL / ausgeführt werdenTLS.
Aktivieren Sie Aktiviertes SSL /TLS Versionen
Online-Tools
Sie können die Versionen von SSL / schnell überprüfenTLS Ihre Website wird durch den Besuch von CDN77 unterstützt TLS Checker und geben Sie den Domainnamen ein, den Sie überprüfen möchten. Wie unten zu sehen ist, https://example.com Deaktiviert derzeit die SSL-Versionen 2 und 3, aktiviert jedoch alle Versionen von TLS (einschließlich der veralteten TLS 1.1 und 1.0):
Nmap
Sie können auch nach SSL / suchenTLS Versionen und Chiffren, die von einer Website mit Open Source unterstützt werden nmap Befehlszeilenprogramm:
nmap --script ssl-enum-ciphers -p
Der Standardport für SSL /TLS is 443
. Der folgende Befehl generiert einen Bericht für example.com
:
$ nmap --script ssl-enum-ciphers -p 443 example.com Startet Nmap 7.80 (https://nmap.org) um 2020-08-25 13:10 EDT Nmap-Scanbericht für example.com (93.184.216.34) Host ist aktiv (0.031s Latenz). Andere Adressen für example.com (nicht gescannt): 2606: 2800: 220: 1: 248: 1893: 25c8: 1946 PORT STATE SERVICE 443 / tcp open https | ssl-enum-chiffren: | TLSv1.0: | Chiffren: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A | TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | Kompressoren: | NULL | Verschlüsselungspräferenz: Server | TLSv1.1: | Chiffren: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A | TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | Kompressoren: | NULL | Verschlüsselungspräferenz: Server | TLSv1.2: | Chiffren: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A | TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | Kompressoren: | NULL | Verschlüsselungspräferenz: Server | _ geringste Stärke: Eine Nmap durchgeführt: 1 IP-Adresse (1 Host hoch) in 3.88 Sekunden gescannt
Server Configuration
Apache
Etwas deaktivieren TLS 1.0 und 1.1 in Apache müssen Sie die Konfigurationsdatei bearbeiten, die das enthält SSLProtocol
Richtlinie für Ihre Website. Diese Datei befindet sich je nach Plattform, Version oder anderen Installationsdetails an verschiedenen Orten. Einige mögliche Standorte sind:
/usr/local/apache2/conf/extra/httpd-ssl.conf
(Standardinstallation von Apache)/etc/apache2/mods-enabled/ssl.conf
(Ubuntu / Debian)/private/etc/apache2/extra/httpd-ssl.conf
(Mac OS)
Wenn Sie die richtige Konfigurationsdatei gefunden haben, suchen Sie nach einer Zeile, die mit beginnt SSLProtocol
. In diesem Beispiel wird bei einer Standardinstallation von macOS Apache SSLv3 mit dem deaktiviert -
Betreiber aber ermöglicht TLS 1.0 und 1.1:
SSLProtokoll alle -SSLv3
Sie können alle veralteten Versionen von SSL / deaktivierenTLS wird von Apache unterstützt, indem sie wie folgt angegeben werden:
SSLProtokoll alle -SSLv3 -TLSv1 -TLSv1.1
Die obige Konfiguration aktiviert TLS 1.2 sowie TLS 1.3 wenn es in Ihrer Umgebung verfügbar ist.
Apache und virtuelle Hosts
Apache kann mehr als eine Website auf einem einzelnen Server ausführen. Diese virtuelle Hosts kann auf der IP-Nummer, dem Port oder dem Domänennamen basieren und Einstellungen enthalten, die die Basiskonfiguration für Apache überschreiben. Aus diesem Grund sollten Sie die Einstellungen für jeden virtuellen Host in Ihren Konfigurationsdateien überprüfen, insbesondere wenn Sie Änderungen am Basis-SSL / vornehmenTLS Konfiguration scheint nicht zu funktionieren.
Für Versionen von Apache vor 2.4.42 (erstellt / verknüpft mit OpenSSL vor 1.1.1) war es nicht möglich, unterschiedliche SSL / anzugeben.TLS Protokolle für namenbasierte virtuelle Hosts, die dieselbe Basis-IP-Nummer und denselben Port verwenden - die SSLProtocol
des ersten virtuellen Hosts wurde auf alle anderen angewendet. Beginnend mit Apache 2.4.42 / OpenSSL 1.1.1 wird die SSLProtocol
jedes namenbasierten virtuellen Hosts wird berücksichtigt, wenn der Servernamensanzeige (SNI) wird vom Kunden während des bereitgestellt SSL /TLS Handschlag.
Nachdem Sie Ihre Konfigurationsänderungen vorgenommen haben, laden Sie Apache neu, um sie zu übernehmen. Weitere Informationen zum SSLProtocol
Richtlinie beziehen sich bitte auf Apache Dokumentation.
Nginx
SSL /TLS Protokolleinstellungen können in der primären Nginx-Konfigurationsdatei angegeben werden (normalerweise unter /etc/nginx/nginx.conf
) oder in Ihren Site-Konfigurationsdateien. Suchen Sie nach einer Zeile, die mit beginnt ssl_protocols
. Das Folgende ist beispielsweise die Standardeinstellung nginx.conf
Datei von einer neuen Nginx-Installation unter Ubuntu:
ssl_protokolle TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # SSLv3 löschen, ref: POODLE
Sie können diese Zeile so bearbeiten, dass nur aktuelle, sichere Versionen von SSL /TLS sind inklusive:
ssl_protokolle TLSv1.2 TLSv1.3;
Beachten Sie, dass alle Einstellungen in Ihrer Standard-SSL-Konfiguration möglicherweise durch Serverblöcke überschrieben werden, die einzelne Domänennamen konfigurieren. Überprüfen Sie daher, ob Änderungen an Ihren Protokolleinstellungen auf Ihrer Website nicht berücksichtigt werden.
Nachdem Sie Ihre Konfigurationsänderungen vorgenommen haben, laden Sie Nginx neu, um sie zu übernehmen. Weitere Informationen finden Sie in der Dokumentation von Nginx unter Konfigurieren von HTTPS-Servern.
TLS 1.0 und 1.1 Browserfehler
Parce que TLS Die Versionen 1.0 und 1.1 gelten derzeit als unsicher. Die meisten modernen Browser geben eine Fehlermeldung aus, wenn sie auf eine Website stoßen, auf der diese veraltet sind TLS Versionen sind aber aktiviert TLS 1.2 oder 1.3 ist nicht. Beispiele für diese Fehler sind nachstehend aufgeführt:
Google Chrome
Google Chrome zeigt die folgende Fehlermeldung an, wenn eine Verbindung zu einer laufenden Website hergestellt wird TLS 1.0 oder 1.1:
Ihre Verbindung ist nicht vollständig sicher
Diese Site verwendet eine veraltete Sicherheitskonfiguration, die Ihre Informationen (z. B. Passwörter, Nachrichten oder Kreditkarten) offenlegt, wenn sie an diese Site gesendet werden.NET::ERR_SSL_OBSOLETE_VERSION
Durch Klicken auf die Fortgeschrittener Auf der Schaltfläche wird die folgende Meldung sowie ein Link zum Fortfahren zur Website mit der Bezeichnung angezeigt unsicher:
Die zum Laden dieser Site verwendete Verbindung wird verwendet TLS 1.0 oder TLS 1.1, die veraltet sind und in Zukunft deaktiviert werden. Nach der Deaktivierung können Benutzer diese Site nicht mehr laden. Der Server sollte aktivieren TLS 1.2 oder höher.
Mozilla Firefox
Mozilla Firefox erzeugt die folgende Fehlermeldung, wenn eine Verbindung zu einer laufenden Website hergestellt wird TLS 1.0 oder 1.1:
Sichere Verbindung fehlgeschlagen
Bei einer Verbindung zu [URL] ist ein Fehler aufgetreten. Peer mit nicht unterstützter Version des Sicherheitsprotokolls.
Fehlercode:SSL_ERROR_UNSUPPORTED_VERSION
...
Diese Website unterstützt möglicherweise nicht die TLS 1.2-Protokoll, die von Firefox unterstützte Mindestversion. Aktivieren TLS 1.0 und 1.1 ermöglichen möglicherweise den Erfolg dieser Verbindung.
TLS 1.0 und TLS 1.1 wird in einer zukünftigen Version dauerhaft deaktiviert.
Apple Safari
Apples Safari-Browser lädt HTTPS-Websites mit TLS 1.0 und 1.1, zeigt jedoch in der Adressleiste des Browsers die Meldung "Nicht sicher" an.
Für mehr Informationen
Lesen Sie mehr über die Sicherheitsprobleme, die mit früheren Versionen von verbunden sind TLS, bitte lesen Sie unseren Artikel, Früh abwerten TLS für ein sichereres Internet. Weitere Informationen zu den wichtigen Unterschieden zwischen TLS 1.2 und TLS 1.3, auschecken TLS 1.3 ist hier um zu bleiben.
Und wie immer, wenn Sie Fragen haben, kontaktieren Sie uns bitte per E-Mail unter Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis. Vielen Dank für Ihren Besuch auf SSL.com!
SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites, einschließlich: