Alle versjoner av SSL /TLS protokoll før TLS 1.2 er nå avskrevet og ansett som utrygge. Mange webserverplattformer har fortsatt TLS 1.0 og TLS 1.1 aktivert som standard. Imidlertid er alle moderne nettlesere kompatible med TLS 1.2. Av denne grunn er det en god ide at eiere av nettsteder sjekker serverkonfigurasjonen for å sikre at bare nåværende, sikre versjoner av SSL /TLS er aktivert og alle andre (inkludert TLS 1.0, TLS 1.1 og SSL 3.0) er deaktivert.
Denne guiden inneholder instruksjoner for å sjekke hvilke versjoner av SSL /TLS er aktivert på et nettsted, deaktiverer foreldede versjoner av SSL /TLS i Apache og Nginx, og viser eksempler på nettleserfeil som skyldes servere som bare kjører utdaterte, usikre versjoner av SSL /TLS.
Merk av Aktivert SSL /TLS versjoner
Online verktøy
Du kan raskt sjekke versjonene av SSL /TLS nettstedet ditt støtter ved å besøke CDN77 TLS Checker og oppgi domenenavnet du vil sjekke. Som du kan se nedenfor, https://example.com deaktiverer for øyeblikket SSL-versjon 2 og 3, men aktiverer alle versjoner av TLS (inkludert utfaset TLS 1.1 og 1.0):
Nmap
Du kan også se etter SSL /TLS versjoner og koder som støttes av et nettsted med åpen kildekode nmap kommandolinjeverktøy:
nmap - skript ssl-enum-ciphers -p
Standardporten for SSL /TLS is 443. Kommandoen nedenfor genererer en rapport for example.com:
$ nmap --script ssl-enum-ciphers -p 443 example.com Starter Nmap 7.80 (https://nmap.org) ved 2020-08-25 13:10 EDT Nmap scan-rapport for eksempel.com (93.184.216.34) Verten er oppe (0.031s ventetid). Andre adresser for eksempel.com (ikke skannet): 2606: 2800: 220: 1: 248: 1893: 25c8: 1946 PORT STATE SERVICE 443 / tcp open https | ssl-enum-chiffer: | TLSv1.0: | koder: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A | TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | kompressorer: | NULL | krypteringspreferanse: server | TLSv1.1: | koder: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A | TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | kompressorer: | NULL | krypteringspreferanse: server | TLSv1.2: | koder: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A | TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A | TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | kompressorer: | NULL | krypteringspreferanse: server | _ minste styrke: En Nmap gjort: 1 IP-adresse (1 vert opp) skannet på 3.88 sekunder
Serverkonfigurasjon
Apache
For å deaktivere TLS 1.0 og 1.1 i Apache, må du redigere konfigurasjonsfilen som inneholder SSLProtocol direktivet for nettstedet ditt. Denne filen kan være lokalisert på forskjellige steder, avhengig av plattform, versjon eller andre installasjonsdetaljer. Noen mulige steder er:
/usr/local/apache2/conf/extra/httpd-ssl.conf(standard Apache-installasjon)/etc/apache2/mods-enabled/ssl.conf(Ubuntu / Debian)/private/etc/apache2/extra/httpd-ssl.conf(Mac os)
Når du har funnet riktig konfigurasjonsfil, ser du etter en linje som begynner med SSLProtocol. Dette eksemplet, fra en standard macOS Apache-installasjon, deaktiverer SSLv3 med - operatør, men gjør det mulig TLS 1.0 og 1.1:
SSLProtocol all -SSLv3
Du kan deaktivere alle foreldede versjoner av SSL /TLS støttet av Apache ved å spesifisere dem som følger:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
Konfigurasjonen ovenfor muliggjør TLS 1.2, samt TLS 1.3 hvis den er tilgjengelig i ditt miljø.
Apache og virtuelle verter
Apache kan kjøre mer enn ett nettsted på en enkelt server. Disse virtuelle verter kan være basert på IP-nummer, port eller domenenavn, og kan omfatte innstillinger som overstyrer basiskonfigurasjonen for Apache. Av denne grunn bør du sjekke innstillingene for hver virtuelle vert i konfigurasjonsfilene dine, spesielt hvis endringene til basen SSL /TLS konfigurasjonen ser ikke ut til å fungere.
For versjoner av Apache før 2.4.42 (bygget / koblet mot OpenSSL før 1.1.1) var det ikke mulig å spesifisere annen SSL /TLS protokoller for navnebaserte virtuelle verter som deler samme base IP-nummer og port - SSLProtocol av den første virtuelle verten ble brukt på alle andre. Fra og med Apache 2.4.42 / OpenSSL 1.1.1, blir SSLProtocol av hver navnebaserte virtuelle vert æres når Servernavnindikasjon (SNI) leveres av klienten i løpet av SSL /TLS håndtrykk.
Når du har gjort konfigurasjonsendringene, laster du inn Apache for å sette dem i kraft. For mer informasjon om SSLProtocol direktivet, se Apache's dokumentasjon.
Nginx
SSL /TLS protokollinnstillinger kan spesifiseres i den primære Nginx-konfigurasjonsfilen (vanligvis plassert på /etc/nginx/nginx.conf), eller i konfigurasjonsfilene på nettstedet ditt. Se etter en linje som begynner med ssl_protocols. For eksempel er følgende fra standard nginx.conf fil fra en ny Nginx-installasjon på Ubuntu:
ssl_protokoller TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropper SSLv3, ref: POODLE
Du kan redigere denne linjen slik at bare nåværende, sikre versjoner av SSL /TLS er inkludert:
ssl_protokoller TLSv1.2 TLSv1.3;
Vær oppmerksom på at alle innstillinger i standard SSL-konfigurasjon kan bli overstyrt av serverblokker som konfigurerer individuelle domenenavn, så sørg for å sjekke om det er om endringer i protokollinnstillingene ikke gjenspeiles på nettstedet ditt.
Når du har gjort konfigurasjonsendringene, laster du Nginx på nytt for å sette dem i kraft. For mer informasjon, se Nginxs dokumentasjon på konfigurere HTTPS-servere.
TLS 1.0 og 1.1 Nettleserfeil
Fordi TLS versjoner 1.0 og 1.1 er for tiden ansett som usikre, de fleste moderne nettlesere vil gi en feilmelding hvis de støter på et nettsted der disse er foreldet TLS versjoner er aktivert, men TLS 1.2 eller 1.3 er ikke. Eksempler på disse feilene er vist nedenfor:
Google Chrome
Google Chrome viser følgende feilmelding når den kobles til et nettsted som kjører TLS 1.0 eller 1.1:
Tilkoblingen din er ikke helt sikker
Dette nettstedet bruker en utdatert sikkerhetskonfigurasjon, som kan avsløre informasjonen din (for eksempel passord, meldinger eller kredittkort) når den sendes til dette nettstedet.NET::ERR_SSL_OBSOLETE_VERSION
Ved å klikke på Avansert -knappen vil vise følgende melding, pluss en lenke for å fortsette til nettstedet, merket usikre:
Tilkoblingen som ble brukt til å laste inn dette nettstedet, ble brukt TLS 1.0 eller TLS 1.1, som er utfaset og vil bli deaktivert i fremtiden. Når den er deaktivert, vil brukere bli forhindret fra å laste inn dette nettstedet. Serveren skal aktiveres TLS 1.2 eller nyere.
Mozilla Firefox
Mozilla Firefox produserer følgende feilmelding når den kobles til et nettsted som kjører TLS 1.0 eller 1.1:
Sikker Tilkobling mislyktes
Det oppstod en feil under tilkoblingen til [URL]. Jevnaldrende ved hjelp av ikke-støttet versjon av sikkerhetsprotokoll.
Feil kode:SSL_ERROR_UNSUPPORTED_VERSION...
Dette nettstedet støtter kanskje ikke TLS 1.2-protokoll, som er den minste versjonen som støttes av Firefox. Aktivering TLS 1.0 og 1.1 kan tillate at denne tilkoblingen lykkes.
TLS 1.0 og TLS 1.1 blir deaktivert permanent i en fremtidig utgivelse.
about:config i Firefox og sett security.tls.version.enable-deprecated til false.
Apple Safari
Apples Safari-nettleser vil laste inn HTTPS-nettsteder ved hjelp av TLS 1.0 og 1.1, men vil vise en "Ikke sikker" -melding i nettleserens adressefelt.
For mer informasjon
For å lese om sikkerhetsproblemene knyttet til tidligere versjoner av TLS, les artikkelen vår, Avskrivning tidlig TLS for et tryggere internett. For mer informasjon om de viktige forskjellene mellom TLS 1.2 og TLS 1.3, sjekk ut TLS 1.3 er her for å bli.
Og som alltid, hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk chat-lenken nederst til høyre på denne siden. Du kan også finne svar på mange vanlige støttespørsmål i vår kunnskapsbase. Takk for at du besøkte SSL.com!
SSL.com tilbyr et bredt utvalg av SSL /TLS serversertifikater for HTTPS nettsteder, inkludert:
