en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Deaktiver TLS 1.0 og 1.1 i Apache og Nginx

Alle versjoner av SSL /TLS protokoll før TLS 1.2 er nå avskrevet og ansett som utrygge. Mange webserverplattformer har fortsatt TLS 1.0 og TLS 1.1 aktivert som standard. Imidlertid er alle moderne nettlesere kompatible med TLS 1.2. Av denne grunn er det en god ide at eiere av nettsteder sjekker serverkonfigurasjonen for å sikre at bare nåværende, sikre versjoner av SSL /TLS er aktivert og alle andre (inkludert TLS 1.0, TLS 1.1 og SSL 3.0) er deaktivert.

Denne guiden inneholder instruksjoner for å sjekke hvilke versjoner av SSL /TLS er aktivert på et nettsted, deaktiverer foreldede versjoner av SSL /TLS i Apache og Nginx, og viser eksempler på nettleserfeil som skyldes servere som bare kjører utdaterte, usikre versjoner av SSL /TLS.

Merk av Aktivert SSL /TLS versjoner

Online verktøy

Du kan raskt sjekke versjonene av SSL /TLS nettstedet ditt støtter ved å besøke CDN77 TLS Checker og oppgi domenenavnet du vil sjekke. Som du kan se nedenfor, https://example.com deaktiverer for øyeblikket SSL-versjon 2 og 3, men aktiverer alle versjoner av TLS (inkludert utfaset TLS 1.1 og 1.0):

SSL /TLS versjoner som støttes av example.com

Nmap

Du kan også se etter SSL /TLS versjoner og koder som støttes av et nettsted med åpen kildekode nmap kommandolinjeverktøy:

nmap - skript ssl-enum-ciphers -p

Standardporten for SSL /TLS is 443. Kommandoen nedenfor genererer en rapport for example.com:

$ nmap --script ssl-enum-ciphers -p 443 example.com Starter Nmap 7.80 (https://nmap.org) ved 2020-08-25 13:10 EDT Nmap scan-rapport for eksempel.com (93.184.216.34) Verten er oppe (0.031s ventetid). Andre adresser for eksempel.com (ikke skannet): 2606: 2800: 220: 1: 248: 1893: 25c8: 1946 PORT STATE SERVICE 443 / tcp open https | ssl-enum-chiffer: |   TLSv1.0: | koder: |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A |       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | kompressorer: | NULL | krypteringspreferanse: server |   TLSv1.1: | koder: |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A |       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | kompressorer: | NULL | krypteringspreferanse: server |   TLSv1.2: | koder: |       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A |       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A |       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A |       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A |       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A | kompressorer: | NULL | krypteringspreferanse: server | _ minste styrke: En Nmap gjort: 1 IP-adresse (1 vert opp) skannet på 3.88 sekunder

Serverkonfigurasjon

Apache

For å deaktivere TLS 1.0 og 1.1 i Apache, må du redigere konfigurasjonsfilen som inneholder SSLProtocol direktivet for nettstedet ditt. Denne filen kan være lokalisert på forskjellige steder, avhengig av plattform, versjon eller andre installasjonsdetaljer. Noen mulige steder er:

  • /usr/local/apache2/conf/extra/httpd-ssl.conf (standard Apache-installasjon)
  • /etc/apache2/mods-enabled/ssl.conf (Ubuntu / Debian)
  • /private/etc/apache2/extra/httpd-ssl.conf (Mac os)

Når du har funnet riktig konfigurasjonsfil, ser du etter en linje som begynner med SSLProtocol. Dette eksemplet, fra en standard macOS Apache-installasjon, deaktiverer SSLv3 med - operatør, men gjør det mulig TLS 1.0 og 1.1:

SSLProtocol all -SSLv3

Du kan deaktivere alle foreldede versjoner av SSL /TLS støttet av Apache ved å spesifisere dem som følger:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

Konfigurasjonen ovenfor muliggjør TLS 1.2, samt TLS 1.3 hvis den er tilgjengelig i ditt miljø.

Apache og virtuelle verter

Apache kan kjøre mer enn ett nettsted på en enkelt server. Disse virtuelle verter kan være basert på IP-nummer, port eller domenenavn, og kan omfatte innstillinger som overstyrer basiskonfigurasjonen for Apache. Av denne grunn bør du sjekke innstillingene for hver virtuelle vert i konfigurasjonsfilene dine, spesielt hvis endringene til basen SSL /TLS konfigurasjonen ser ikke ut til å fungere.

For versjoner av Apache før 2.4.42 (bygget / koblet mot OpenSSL før 1.1.1) var det ikke mulig å spesifisere annen SSL /TLS protokoller for navnebaserte virtuelle verter som deler samme base IP-nummer og port - SSLProtocol av den første virtuelle verten ble brukt på alle andre. Fra og med Apache 2.4.42 / OpenSSL 1.1.1, blir SSLProtocol av hver navnebaserte virtuelle vert æres når Servernavnindikasjon (SNI) leveres av klienten i løpet av SSL /TLS håndtrykk.

Når du har gjort konfigurasjonsendringene, laster du inn Apache for å sette dem i kraft. For mer informasjon om SSLProtocol direktivet, se Apache's dokumentasjon.

Nginx

SSL /TLS protokollinnstillinger kan spesifiseres i den primære Nginx-konfigurasjonsfilen (vanligvis plassert på /etc/nginx/nginx.conf), eller i konfigurasjonsfilene på nettstedet ditt. Se etter en linje som begynner med ssl_protocols. For eksempel er følgende fra standard nginx.conf fil fra en ny Nginx-installasjon på Ubuntu:

ssl_protokoller TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropper SSLv3, ref: POODLE

Du kan redigere denne linjen slik at bare nåværende, sikre versjoner av SSL /TLS er inkludert:

ssl_protokoller TLSv1.2 TLSv1.3;

Vær oppmerksom på at alle innstillinger i standard SSL-konfigurasjon kan bli overstyrt av serverblokker som konfigurerer individuelle domenenavn, så sørg for å sjekke om det er om endringer i protokollinnstillingene ikke gjenspeiles på nettstedet ditt.

Når du har gjort konfigurasjonsendringene, laster du Nginx på nytt for å sette dem i kraft. For mer informasjon, se Nginxs dokumentasjon på konfigurere HTTPS-servere.

TLS 1.0 og 1.1 Nettleserfeil

Fordi TLS versjoner 1.0 og 1.1 er for tiden ansett som usikre, de fleste moderne nettlesere vil gi en feilmelding hvis de støter på et nettsted der disse er foreldet TLS versjoner er aktivert, men TLS 1.2 eller 1.3 er ikke. Eksempler på disse feilene er vist nedenfor:

Google Chrome

Chrome-testing ble gjort med Chrome 84 på Windows 10. Skjermbilder er fra Chrome. Merk at den nåværende versjonen av Microsoft Edge (basert på Chromium) viser den samme feilkoden som Chrome, ledsaget av en litt annen tekst.

Google Chrome viser følgende feilmelding når den kobles til et nettsted som kjører TLS 1.0 eller 1.1:

Tilkoblingen din er ikke helt sikker
Dette nettstedet bruker en utdatert sikkerhetskonfigurasjon, som kan avsløre informasjonen din (for eksempel passord, meldinger eller kredittkort) når den sendes til dette nettstedet.
NET::ERR_SSL_OBSOLETE_VERSION

TLS 1.0 feilmelding i ChromeVed å klikke på Avansert -knappen vil vise følgende melding, pluss en lenke for å fortsette til nettstedet, merket usikre:

Tilkoblingen som ble brukt til å laste inn dette nettstedet, ble brukt TLS 1.0 eller TLS 1.1, som er utfaset og vil bli deaktivert i fremtiden. Når den er deaktivert, vil brukere bli forhindret fra å laste inn dette nettstedet. Serveren skal aktiveres TLS 1.2 eller nyere.

Avansert informasjon om TLS 1.0 og 1.1 i Chrome

Mozilla Firefox

Firefox-testing ble gjort med Firefox 79.0 på Windows 10.

Mozilla Firefox produserer følgende feilmelding når den kobles til et nettsted som kjører TLS 1.0 eller 1.1:

Sikker Tilkobling mislyktes
Det oppstod en feil under tilkoblingen til [URL]. Jevnaldrende ved hjelp av ikke-støttet versjon av sikkerhetsprotokoll.
Feil kode: SSL_ERROR_UNSUPPORTED_VERSION
...
Dette nettstedet støtter kanskje ikke TLS 1.2-protokoll, som er den minste versjonen som støttes av Firefox. Aktivering TLS 1.0 og 1.1 kan tillate at denne tilkoblingen lykkes.
TLS 1.0 og TLS 1.1 blir deaktivert permanent i en fremtidig utgivelse.

Firefox TLS 1.0 og 1.1 feilmelding

Ved å klikke på aktiver TLS 1.0 og 1.1 -knappen kan hjelpe til med å laste inn nettstedet, men det er ikke et engangsfritak. For å deaktivere TLS 1.0 og 1.1, gå til about:config i Firefox og sett security.tls.version.enable-deprecated til false.

angi sikkerhet.tls.version.enable-avskrevet til false

Apple Safari

Safari-testing ble gjort med Safari versjon 13.1.2 på macOS 10.15.6 (Catalina)

Apples Safari-nettleser vil laste inn HTTPS-nettsteder ved hjelp av TLS 1.0 og 1.1, men vil vise en "Ikke sikker" -melding i nettleserens adressefelt.

TLS 1.0 nettsted i Apple Safari

For mer informasjon

For å lese om sikkerhetsproblemene knyttet til tidligere versjoner av TLS, les artikkelen vår, Avskrivning tidlig TLS for et tryggere internett. For mer informasjon om de viktige forskjellene mellom TLS 1.2 og TLS 1.3, sjekk ut TLS 1.3 er her for å bli.

Og som alltid, hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk chat-lenken nederst til høyre på denne siden. Du kan også finne svar på mange vanlige støttespørsmål i vår kunnskapsbase. Takk for at du besøkte SSL.com!

Del på twitter
Twitter
Del på facebook
Facebook
Del på linkedin
Linkedin
Del på reddit
Reddit
Del på e-post
E-post