Απενεργοποίηση TLS 1.0 και 1.1 στο Apache και το Nginx

Όλες οι εκδόσεις του SSL /TLS πρωτόκολλο πριν από TLS 1.2 έχουν καταργηθεί και θεωρούνται ανασφαλείς. Πολλές πλατφόρμες διακομιστών ιστού έχουν ακόμη TLS 1.0 και TLS 1.1 ενεργοποιημένο από προεπιλογή. Ωστόσο, όλα τα σύγχρονα προγράμματα περιήγησης ιστού είναι συμβατά με TLS 1.2. Για αυτόν τον λόγο, είναι καλή ιδέα για τους κατόχους ιστότοπων να ελέγχουν τη διαμόρφωση του διακομιστή τους για να βεβαιωθούν ότι μόνο οι τρέχουσες, ασφαλείς εκδόσεις του SSL /TLS είναι ενεργοποιημένα και όλα τα άλλα (συμπεριλαμβανομένων TLS 1.0, TLS 1.1 και SSL 3.0) είναι απενεργοποιημένα.

Αυτός ο οδηγός περιλαμβάνει οδηγίες για τον έλεγχο των εκδόσεων SSL /TLS είναι ενεργοποιημένα σε έναν ιστότοπο, απενεργοποιώντας παρωχημένες εκδόσεις SSL /TLS στο Apache και το Nginx, και εμφανίζει παραδείγματα σφαλμάτων προγράμματος περιήγησης που προκύπτουν από διακομιστές που χρησιμοποιούν μόνο καταργημένες, ανασφαλείς εκδόσεις SSL /TLS.

Έλεγχος ενεργοποιημένου SSL /TLS εκδόσεις

Ηλεκτρονικά εργαλεία

Μπορείτε να ελέγξετε γρήγορα τις εκδόσεις του SSL /TLS υποστηρίζει ο ιστότοπός σας μεταβαίνοντας σε CDN77 TLS Έλεγχος και εισάγοντας το όνομα τομέα που θέλετε να ελέγξετε. Όπως φαίνεται παρακάτω, https://example.com απενεργοποιεί προς το παρόν SSL εκδόσεις 2 και 3, αλλά επιτρέπει όλες τις εκδόσεις του TLS (συμπεριλαμβανομένων των καταργημένων TLS 1.1 και 1.0):

SSL /TLS εκδόσεις που υποστηρίζονται από το example.com

Nmap

Μπορείτε επίσης να ελέγξετε για το SSL /TLS εκδόσεις και κρυπτογράφησης που υποστηρίζονται από έναν ιστότοπο με το ανοιχτού κώδικα nmap εργαλείο γραμμής εντολών:

nmap --script ssl-enum-ciphers -p

Η προεπιλεγμένη θύρα για SSL /TLS is 443. Η παρακάτω εντολή θα δημιουργήσει μια αναφορά για example.com:

$ nmap --script ssl-enum-ciphers -p 443 example.com Έναρξη Nmap 7.80 (https://nmap.org) στις 2020-08-25 13:10 Αναφορά σάρωσης EDT Nmap για το example.com (93.184.216.34) Ο κεντρικός υπολογιστής έχει αυξηθεί (καθυστέρηση 0.031s). Άλλες διευθύνσεις για παράδειγμα.com (δεν έχουν σαρωθεί): 2606: 2800: 220: 1: 248: 1893: 25c8: 1946 ΛΙΜΕΝΙΚΗ ΥΠΗΡΕΣΙΑ ΛΙΜΑΝΙ 443 / tcp άνοιγμα https | ssl-enum-ciphers: |   TLSv1.0: | κρυπτογραφητές: |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - Α |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - Α |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - Α |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - Α |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - Α |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - Α |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - Α |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - Α |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - Α |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - Α |       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - Α | συμπιεστές: | NULL | προτίμηση cipher: διακομιστής |   TLSv1.1: | κρυπτογραφητές: |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - Α |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - Α |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - Α |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - Α |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - Α |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - Α |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - Α |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - Α |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - Α |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - Α |       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - Α | συμπιεστές: | NULL | προτίμηση cipher: διακομιστής |   TLSv1.2: | κρυπτογραφητές: |       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - Α |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - Α |       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - Α |       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - Α |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - Α |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - Α |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - Α |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - Α |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - Α |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - Α |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - Α |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - Α |       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - Α |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - Α |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - Α |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - Α |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - Α |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - Α |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - Α |       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - Α | συμπιεστές: | NULL | Προτίμηση cipher: διακομιστής | _ ελάχιστη ισχύς: Έγινε Nmap: 1 διεύθυνση IP (1 host up) σαρώθηκε σε 3.88 δευτερόλεπτα

Διαμόρφωση διακομιστή

Apache

Για να απενεργοποιήσετε TLS 1.0 και 1.1 στο Apache, θα χρειαστεί να επεξεργαστείτε το αρχείο διαμόρφωσης που περιέχει το SSLProtocol οδηγία για τον ιστότοπό σας. Αυτό το αρχείο μπορεί να βρίσκεται σε διαφορετικά μέρη, ανάλογα με την πλατφόρμα, την έκδοση ή άλλες λεπτομέρειες εγκατάστασης. Μερικές πιθανές τοποθεσίες είναι:

  • /usr/local/apache2/conf/extra/httpd-ssl.conf (προεπιλεγμένη εγκατάσταση Apache)
  • /etc/apache2/mods-enabled/ssl.conf (Ubuntu / Debian)
  • /private/etc/apache2/extra/httpd-ssl.conf (mac OS)

Όταν εντοπίσετε το σωστό αρχείο διαμόρφωσης, αναζητήστε μια γραμμή που ξεκινά με SSLProtocol. Αυτό το παράδειγμα, από μια προεπιλεγμένη εγκατάσταση MacOS Apache, απενεργοποιεί το SSLv3 με το - χειριστής αλλά επιτρέπει TLS 1.0 και 1.1:

SSLProtocol all -SSLv3

Μπορείτε να απενεργοποιήσετε όλες τις παρωχημένες εκδόσεις του SSL /TLS υποστηρίζεται από το Apache καθορίζοντάς τα ως εξής:

SSLProtocol όλα -SSLv3 -TLSv1 -TLSv1.1

Η παραπάνω διαμόρφωση επιτρέπει TLS 1.2, καθώς και TLS 1.3 εάν είναι διαθέσιμο στο περιβάλλον σας.

Apache και εικονικοί κεντρικοί υπολογιστές

Το Apache μπορεί να εκτελεί περισσότερους από έναν ιστότοπους σε έναν μόνο διακομιστή. Αυτά τα εικονικούς οικοδεσπότες μπορεί να βασίζεται σε αριθμό IP, θύρα ή όνομα τομέα και μπορεί να περιλαμβάνει ρυθμίσεις που παρακάμπτουν τη βασική διαμόρφωση για το Apache. Για αυτόν τον λόγο, θα πρέπει να ελέγξετε τις ρυθμίσεις για κάθε εικονικό κεντρικό υπολογιστή στα αρχεία διαμόρφωσής σας, ειδικά εάν οι αλλαγές σας στο SSL βάσης /TLS η διαμόρφωση δεν φαίνεται να λειτουργεί.

Για εκδόσεις του Apache πριν από το 2.4.42 (ενσωματωμένο / συνδεδεμένο με το OpenSSL πριν από την 1.1.1), δεν ήταν δυνατό να καθοριστεί διαφορετικό SSL /TLS πρωτόκολλα για εικονικούς κεντρικούς υπολογιστές βασισμένους στο όνομα που μοιράζονται τον ίδιο αριθμό IP βάσης και τη θύρα - το SSLProtocol του πρώτου εικονικού κεντρικού υπολογιστή εφαρμόστηκε σε όλους τους άλλους. Ξεκινώντας με το Apache 2.4.42 / OpenSSL 1.1.1, το SSLProtocol κάθε εικονικού κεντρικού υπολογιστή που βασίζεται σε όνομα τιμάται όταν το Ένδειξη ονόματος διακομιστή (SNI) παρέχεται από τον πελάτη κατά τη διάρκεια του SSL /TLS χειραψία.

Αφού πραγματοποιήσετε τις αλλαγές διαμόρφωσης, φορτώστε ξανά το Apache για να τις εφαρμόσετε. Για περισσότερες πληροφορίες σχετικά με το SSLProtocol οδηγία, ανατρέξτε στο Apache's τεκμηρίωση.

nginx

SSL /TLS Οι ρυθμίσεις πρωτοκόλλου μπορούν να καθοριστούν στο πρωτεύον αρχείο διαμόρφωσης Nginx (συνήθως βρίσκεται στη διεύθυνση /etc/nginx/nginx.conf) ή στα αρχεία διαμόρφωσης του ιστότοπού σας. Ψάξτε για μια γραμμή που ξεκινά με ssl_protocols. Για παράδειγμα, τα ακόλουθα προέρχονται από την προεπιλογή nginx.conf αρχείο από μια νέα εγκατάσταση Nginx στο Ubuntu:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Πτώση SSLv3, ref: POODLE

Μπορείτε να επεξεργαστείτε αυτήν τη γραμμή έτσι ώστε μόνο οι τρέχουσες, ασφαλείς εκδόσεις του SSL /TLS συμπεριλαμβάνονται:

ssl_protocols TLSv1.2 TLSv1.3;

Λάβετε υπόψη ότι τυχόν ρυθμίσεις στην προεπιλεγμένη διαμόρφωση SSL ενδέχεται να αντικατασταθούν από μπλοκ διακομιστή που διαμορφώνουν μεμονωμένα ονόματα τομέα, οπότε φροντίστε να τα ελέγξετε αν οι αλλαγές στις ρυθμίσεις πρωτοκόλλου σας δεν αντικατοπτρίζονται στον ιστότοπό σας.

Αφού πραγματοποιήσετε τις αλλαγές διαμόρφωσης, φορτώστε ξανά το Nginx για να τις εφαρμόσετε. Για περισσότερες πληροφορίες, ανατρέξτε στην τεκμηρίωση του Nginx στο διαμόρφωση διακομιστών HTTPS.

TLS 1.0 και 1.1 Σφάλματα προγράμματος περιήγησης

Επειδή TLS Οι εκδόσεις 1.0 και 1.1 θεωρούνται επί του παρόντος ανασφαλείς, τα περισσότερα σύγχρονα προγράμματα περιήγησης θα παράγουν ένα μήνυμα σφάλματος εάν συναντήσουν έναν ιστότοπο όπου αυτοί είναι ξεπερασμένοι TLS οι εκδόσεις είναι ενεργοποιημένες αλλά TLS 1.2 ή 1.3 δεν είναι. Παραδείγματα αυτών των σφαλμάτων εμφανίζονται παρακάτω:

Google Chrome

Η δοκιμή του Chrome έγινε με το Chrome 84 στα Windows 10. Τα στιγμιότυπα οθόνης προέρχονται από το Chrome. Σημειώστε ότι η τρέχουσα έκδοση του Microsoft Edge (με βάση το Chromium) εμφανίζει τον ίδιο κωδικό σφάλματος με το Chrome, συνοδευόμενο από ένα ελαφρώς διαφορετικό κείμενο.

Το Google Chrome εμφανίζει το ακόλουθο μήνυμα σφάλματος όταν συνδέεται με έναν ιστότοπο που εκτελείται TLS 1.0 ή 1.1:

Η σύνδεσή σας δεν είναι πλήρως ασφαλής
Αυτός ο ιστότοπος χρησιμοποιεί μια παλιά ρύθμιση παραμέτρων ασφαλείας, η οποία ενδέχεται να αποκαλύψει τις πληροφορίες σας (για παράδειγμα, κωδικούς πρόσβασης, μηνύματα ή πιστωτικές κάρτες) όταν αποστέλλονται σε αυτόν τον ιστότοπο.
NET::ERR_SSL_OBSOLETE_VERSION

TLS Μήνυμα σφάλματος 1.0 στο ChromeΚάνοντας κλικ στο Προηγμένη Το κουμπί θα εμφανίσει το ακόλουθο μήνυμα, καθώς και έναν σύνδεσμο για να μεταβείτε στον ιστότοπο, με την ετικέτα επισφαλής:

Η σύνδεση που χρησιμοποιήθηκε για τη φόρτωση αυτού του ιστότοπου που χρησιμοποιήθηκε TLS 1.0 ή TLS 1.1, τα οποία έχουν καταργηθεί και θα απενεργοποιηθούν στο μέλλον. Όταν απενεργοποιηθεί, οι χρήστες δεν θα μπορούν να φορτώσουν αυτόν τον ιστότοπο. Ο διακομιστής πρέπει να ενεργοποιηθεί TLS 1.2 ή μεταγενέστερα.

Προηγμένες πληροφορίες σχετικά με TLS 1.0 και 1.1 στο Chrome

Mozilla Firefox

Ο έλεγχος του Firefox έγινε με τον Firefox 79.0 στα Windows 10.

Το Mozilla Firefox παράγει το ακόλουθο μήνυμα σφάλματος όταν συνδέεται με έναν ιστότοπο που εκτελείται TLS 1.0 ή 1.1:

Ασφαλής σύνδεση απέτυχε
Παρουσιάστηκε σφάλμα κατά τη σύνδεση με το [URL]. Ομότιμη χρήση μη υποστηριζόμενης έκδοσης του πρωτοκόλλου ασφαλείας.
Κωδικός λάθους: SSL_ERROR_UNSUPPORTED_VERSION
...
Αυτός ο ιστότοπος ενδέχεται να μην υποστηρίζει το TLS 1.2 πρωτόκολλο, που είναι η ελάχιστη έκδοση που υποστηρίζεται από τον Firefox. Ενεργοποίηση TLS 1.0 και 1.1 ενδέχεται να επιτρέψουν την επιτυχία αυτής της σύνδεσης.
TLS 1.0 και TLS 1.1 θα απενεργοποιηθεί οριστικά σε μελλοντική έκδοση.

Firefox TLS Μήνυμα σφάλματος 1.0 και 1.1

Κάνοντας κλικ στο Ενεργοποίηση TLS 1.0 και 1.1 Το κουμπί μπορεί να σας βοηθήσει να φορτώσετε τον ιστότοπο, αλλά δεν αποτελεί εφάπαξ εξαίρεση. Για να απενεργοποιήσετε ξανά TLS 1.0 και 1.1, μεταβείτε στο about:config στο Firefox και ορίστε security.tls.version.enable-deprecated προς την false.

ορίστε το security.tls.version.enable-deprecated σε false

Apple Safari

Ο έλεγχος Safari έγινε με το Safari έκδοση 13.1.2 στο macOS 10.15.6 (Catalina)

Το πρόγραμμα περιήγησης Safari της Apple θα φορτώνει ιστότοπους HTTPS χρησιμοποιώντας TLS 1.0 και 1.1, αλλά θα εμφανιστεί ένα μήνυμα "Μη ασφαλές" στη γραμμή διευθύνσεων του προγράμματος περιήγησης.

TLS 1.0 ιστότοπος στο Apple Safari

Για περισσότερες πληροφορίες

Για να διαβάσετε σχετικά με τα θέματα ασφαλείας που σχετίζονται με παλαιότερες εκδόσεις του TLS, διαβάστε το άρθρο μας, Απόσυρση νωρίς TLS για ασφαλέστερο Διαδίκτυο. Για περισσότερες πληροφορίες σχετικά με τις σημαντικές διαφορές μεταξύ TLS 1.2 και TLS 1.3, δείτε TLS 1.3 είναι εδώ για να μείνετε.

Και, όπως πάντα, αν έχετε απορίες, επικοινωνήστε μαζί μας μέσω email στη διεύθυνση Support@SSL.com, κλήση 1-877-SSL-SECUREή απλώς κάντε κλικ στο σύνδεσμο συνομιλίας κάτω δεξιά αυτής της σελίδας. Μπορείτε επίσης να βρείτε απαντήσεις σε πολλές κοινές ερωτήσεις υποστήριξης στο βάση γνώσεων. Σας ευχαριστούμε που επισκεφθήκατε το SSL.com!

Twitter
Facebook
LinkedIn
Reddit
Email

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.