無効にします TLS ApacheおよびNginxの1.0および1.1

SSL /のすべてのバージョンTLS 以前のプロトコル TLS 1.2は非推奨となり、安全ではないと見なされています。 多くのWebサーバープラットフォームには、 TLS 1.0本、そして TLS 1.1はデフォルトで有効です。 ただし、すべての最新のWebブラウザーは、 TLS 1.2。 このため、Webサイトの所有者は、サーバー構成をチェックして、SSL /の現在の安全なバージョンのみを確認することをお勧めします。TLS 有効になっており、その他すべて( TLS 1.0、 TLS 1.1、およびSSL 3.0)は無効になっています。

このガイドには、SSL /のバージョンを確認する手順が含まれています。TLS Webサイトで有効になり、廃止されたバージョンのSSL /が無効になりますTLS ApacheとNginxで、非推奨の安全でないバージョンのSSL /のみを実行しているサーバーに起因するブラウザエラーの例を示しています。TLS.

有効なSSLを確認してください/TLS バージョン

オンラインツール

SSL /のバージョンをすばやく確認できますTLS CDN77にアクセスしてWebサイトがサポートする TLS チェッカー 確認するドメイン名を入力します。 以下に見られるように、 https://example.com 現在、SSLバージョン2および3を無効にしていますが、 TLS (非推奨を含む TLS 1.1および1.0):

SSL /TLS example.comでサポートされているバージョン

Nmapの

SSL /を確認することもできますTLS オープンソースのウェブサイトでサポートされているバージョンと暗号 nmap コマンドラインツール:

nmap --script ssl-enum-ciphers -p

SSL /のデフォルトポートTLS is 443。 以下のコマンドは、レポートを生成します example.com:

$ nmap --script ssl-enum-ciphers -p 443 example.com7.80-2020-08でNmap25(https://nmap.org)を開始13:10 EDT Nmapスキャンレポート(example.com(93.184.216.34))ホストが稼働しています(0.031秒の遅延)。 example.comのその他のアドレス(スキャンされていません):2606:2800:220:1:248:1893:25c8:1946 PORT STATE SERVICE 443 / tcp open https | ssl-enum-ciphers:|   TLSv1.0:| 暗号:|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(secp256r1)-A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA(secp256r1)-A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA(dh 2048)-A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA(dh 2048)-A |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA(dh 2048)-A |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA(dh 2048)-A |       TLS_RSA_WITH_AES_256_CBC_SHA(rsa 2048)-A |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA(rsa 2048)-A |       TLS_RSA_WITH_AES_128_CBC_SHA(rsa 2048)-A |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA(rsa 2048)-A |       TLS_DHE_RSA_WITH_SEED_CBC_SHA(dh 2048)-A |       TLS_RSA_WITH_SEED_CBC_SHA(rsa 2048)-A | コンプレッサー:| NULL | 暗号設定:サーバー|   TLSv1.1:| 暗号:|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(secp256r1)-A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA(secp256r1)-A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA(dh 2048)-A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA(dh 2048)-A |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA(dh 2048)-A |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA(dh 2048)-A |       TLS_RSA_WITH_AES_256_CBC_SHA(rsa 2048)-A |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA(rsa 2048)-A |       TLS_RSA_WITH_AES_128_CBC_SHA(rsa 2048)-A |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA(rsa 2048)-A |       TLS_DHE_RSA_WITH_SEED_CBC_SHA(dh 2048)-A |       TLS_RSA_WITH_SEED_CBC_SHA(rsa 2048)-A | コンプレッサー:| NULL | 暗号設定:サーバー|   TLSv1.2:| 暗号:|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256(secp256r1)-A |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384(secp256r1)-A |       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256(dh 2048)-A |       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384(dh 2048)-A |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256(secp256r1)-A |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(secp256r1)-A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384(secp256r1)-A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA(secp256r1)-A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256(dh 2048)-A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA(dh 2048)-A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256(dh 2048)-A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA(dh 2048)-A |       TLS_RSA_WITH_AES_128_GCM_SHA256(rsa 2048)-A |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA(dh 2048)-A |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA(dh 2048)-A |       TLS_RSA_WITH_AES_256_CBC_SHA(rsa 2048)-A |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA(rsa 2048)-A |       TLS_RSA_WITH_AES_128_CBC_SHA(rsa 2048)-A |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA(rsa 2048)-A |       TLS_DHE_RSA_WITH_SEED_CBC_SHA(dh 2048)-A |       TLS_RSA_WITH_SEED_CBC_SHA(rsa 2048)-A | コンプレッサー:| NULL | 暗号設定:サーバー| _最小強度:実行されたNmap:1秒でスキャンされた1つのIPアドレス(3.88つのホストアップ)

サーバの設定

アパッチ

無効にする TLS Apacheの1.0と1.1の場合、以下を含む構成ファイルを編集する必要があります。 SSLProtocol あなたのウェブサイトのためのディレクティブ。 このファイルは、プラットフォーム、バージョン、またはその他のインストールの詳細に応じて、異なる場所に配置される場合があります。 可能な場所は次のとおりです。

  • /usr/local/apache2/conf/extra/httpd-ssl.conf (デフォルトのApacheインストール)
  • /etc/apache2/mods-enabled/ssl.conf (Ubuntu / Debian)
  • /private/etc/apache2/extra/httpd-ssl.conf (マックOS)

正しい構成ファイルを見つけたら、次で始まる行を探します SSLProtocol。 この例では、デフォルトのmacOS Apacheインストールから、SSLv3を無効にします。 - オペレーターが有効にします TLS 1.0と1.1:

SSLプロトコルすべて-SSLv3

廃止されたバージョンのSSL /をすべて無効にすることができますTLS 次のように指定することにより、Apacheでサポートされます。

SSLProtocol all -SSLv3-TLSv1  - TLSv1.1

上記の構成により、 TLS 1.2、および TLS 1.3ご使用の環境で使用可能な場合。

Apacheと仮想ホスト

Apacheは、単一のサーバー上で複数のWebサイトを実行できます。 これら 仮想ホスト IP番号、ポート、またはドメイン名に基づく場合があり、Apacheの基本構成を上書きする設定が含まれる場合があります。 このため、特にベースSSL /に変更を加えた場合は、構成ファイル内の各仮想ホストの設定を確認する必要があります。TLS 構成が機能していないようです。

2.4.42より前のバージョンのApache(1.1.1より前のOpenSSLに対してビルド/リンク)の場合、異なるSSL /を指定することはできませんでした。TLS 同じベースIP番号とポートを共有する名前ベースの仮想ホストのプロトコル– SSLProtocol 最初の仮想ホストのが他のすべてに適用されました。 Apache 2.4.42 / OpenSSL 1.1.1以降、 SSLProtocol それぞれの名前ベースの仮想ホストの サーバー名表示(SNI) 中にクライアントによって提供されます SSL /TLS 握手.

設定を変更したら、Apacheをリロードして変更を有効にします。 の詳細については、 SSLProtocol ディレクティブ、Apacheのを参照してください ドキュメント.

nginx

SSL /TLS プロトコル設定は、プライマリNginx構成ファイル(通常は次の場所にあります)で指定できます。 /etc/nginx/nginx.conf)、またはサイト構成ファイル内。 で始まる行を探します ssl_protocols。 たとえば、以下はデフォルトのものです nginx.conf Ubuntuの新規Nginxインストールからのファイル:

ssl_プロトコル TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #SSLv3の削除、参照:POODLE

この行を編集して、SSL /の現在の安全なバージョンのみを使用することができます。TLS 含まれています:

ssl_プロトコル TLSv1.2 TLSV1.3;

デフォルトのSSL構成の設定は、個々のドメイン名を構成するサーバーブロックによって上書きされる可能性があるため、プロトコル設定の変更がWebサイトに反映されていないかどうかを必ず確認してください。

設定を変更したら、Nginxをリロードして有効にします。 詳細については、Nginxのドキュメントを参照してください。 HTTPSサーバーの構成.

TLS 1.0および1.1のブラウザーエラー

なぜなら TLS バージョン1.0と1.1は現在安全でないと見なされています。最新のほとんどのブラウザは、これらの古いWebサイトに遭遇するとエラーメッセージを生成します。 TLS バージョンは有効ですが TLS 1.2または1.3はそうではありません。 これらのエラーの例を以下に示します。

Google Chrome

ChromeのテストはWindows 84のChrome 10で行われました。スクリーンショットはChromeのものです。 Microsoft Edgeの現在のバージョン(Chromiumベース)には、Chromeと同じエラーコードが表示され、テキストが少し異なります。

Google Chromeが実行中のWebサイトに接続すると、次のエラーメッセージが表示されます TLS 1.0または1.1:

接続が完全に保護されていません
このサイトは古いセキュリティ構成を使用しているため、このサイトに送信すると、情報(パスワード、メッセージ、クレジットカードなど)が公開される可能性があります。
NET::ERR_SSL_OBSOLETE_VERSION

TLS Chromeの1.0エラーメッセージクリック 高機能 ボタンをクリックすると、次のメッセージと、ラベルが付いたWebサイトに進むためのリンクが表示されます 安全でない:

このサイトの読み込みに使用された接続が使用されました TLS 1.0または TLS 1.1は非推奨であり、今後無効になる予定です。 無効にすると、ユーザーはこのサイトを読み込めなくなります。 サーバーは有効にする必要があります TLS 1.2以降。

に関する詳細情報 TLS Chromeの1.0および1.1

Mozilla Firefox

Firefoxのテストは、Windows 79.0のFirefox 10で行われました。

Mozilla Firefoxが実行中のWebサイトに接続すると、次のエラーメッセージが表示される TLS 1.0または1.1:

セキュア接続に失敗しました
[URL]への接続中にエラーが発生しました。 サポートされていないバージョンのセキュリティプロトコルを使用しているピア。
エラーコード: SSL_ERROR_UNSUPPORTED_VERSION
...
このWebサイトは、 TLS 1.2プロトコル。これは、Firefoxでサポートされる最小バージョンです。 有効にする TLS 1.0および1.1では、この接続が成功する可能性があります。
TLS 1.0本、そして TLS 1.1は将来のリリースで永久に無効になる予定です。

Firefoxの TLS 1.0および1.1エラーメッセージ

クリック 有効にする TLS 1.0と1.1 ボタンはサイトの読み込みに役立ちますが、XNUMX回限りの免除ではありません。 再度無効にするには TLS 1.0と1.1は、 about:config Firefoxで設定 security.tls.version.enable-deprecated 〜へ false.

security.tls.version.enable-deprecated を false に設定する

アップルのSafari

SafariのテストはmacOS 13.1.2(Catalina)のSafariバージョン10.15.6で行われました

AppleのSafariブラウザは、以下を使用してHTTPS Webサイトをロードします TLS 1.0および1.1。ただし、ブラウザのアドレスバーに「安全ではありません」というメッセージが表示されます。

TLS Apple Safariの1.0サイト

詳細については

の以前のバージョンに関連するセキュリティの問題について読むには TLS、私たちの記事を読んでください、 早期廃止 TLS より安全なインターネットのために。 間の重要な違いの詳細については TLS 1.2本、そして TLS 1.3、チェックアウト TLS 1.3はここにあります.

いつものように、ご不明な点がございましたら、メールでお問い合わせください。 Support@SSL.com電話する 1-877-SSL-SECURE、またはこのページの右下にあるチャットリンクをクリックしてください。 また、サポートに関する多くの一般的な質問への回答も、 知識ベース。 SSL.comにアクセスしていただきありがとうございます。

Twitter
Facebook
LinkedIn
Reddit
メール

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。