Как отключить устаревшие версии SSL/TLS в Apache
Начиная с 30 июня 2018, для совместимости с PCI владельцы сайтов должны отказаться от поддержки TLS 1.0. Протоколы TLS 1.0/1.1 и SSL 2.0/3.0 являются устаревшими. Они не дают должной защиты при передаче данных. В частности, TLS 1.0 содержит уязвимости для некоторых атак. Представленные выше версии протоколов должны быть удалены в средах, требующих высокого уровня безопасности.
Практически все современные браузеры поддерживают TLS 1.2. Ниже мы рассмотрим, как отключить версии TLS 1.0/1.1 и SSL 2.0/3.0 в Apache.
1.Используем vi (или vim) для редактирования ssl.conf (обычно находится в папке /etc/httpd/conf.d).
2.Ищем раздел SSL Protocol Support. Он имеет вид:
# SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect. Disable SSLv2 access by default:
SSLProtocol all -SSLv2 -SSLv3
3.Комментируем строку SSLProtocol all -SSLv2 -SSLv3, добавив перед ней символ решетки.
4.Добавляем под ней строку:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
5.Мы отключили TLS 1.0/1.1 и SSL 2.0/3.0. Далее ищем секцию SSL Cipher Suite.
# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
6.Комментируем строку SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA и добавляем под ней следующее:
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
Этот параметр гарантирует использование SSL-шифров только с высокой степенью защиты.
Также добавьте под SSLCipherSuite HIGH:!aNULL:!MD5:!3DES строку:
SSLHonorCipherOrder on
Этот параметр гарантирует, что будут использоваться предпочтения шифров сервера, а не клиентские предпочтения.
Сохраняем файл и перезапускаем Apache.
service httpd restart
Далее тестируем все приложения, которые взаимодействуют с вашим сервером. Если у вас возникнут какие-либо проблемы, вы можете снять комментарии и вернуться к прошлой версии файла.
Следуйте за лучшими практиками в области SSL вместе с ЛидерТелеком!