Como posso desabilitar o TLS 1.0 e 1.1 no apache?

19

Alguém sabe por que não consigo desativar o tls 1.0 e o tls1.1 atualizando a configuração para isso.

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 

Depois de fazer isso, eu recarrego o apache. Eu faço uma varredura ssl usando a ferramenta ssllabs ou comodo ssl, e ainda diz que os tls 1.1 e 1.0 são suportados. Eu gostaria de remover isso?

    
por David 04.05.2017 / 09:31

2 respostas

33

Quando você tem vários VirtualHosts TLS e usa a indicação do nome do servidor (SNI), é uma sintaxe permitida ter um SSLProtocol diretiva para cada VirtualHost, mas a menos que você tenha IP VirtualHosts na prática, as configurações da primeira ocorrência da diretiva SSLProtocol são usadas para todo o servidor e / ou all 1 .

Verifique, então, o seu principal httpd.conf (e todos os trechos incluídos, por exemplo, conf.d/*.conf e inclusões semelhantes) para mais ocorrências da diretiva SSLProtocol .

Sua sintaxe está correta, embora eu concorde com a resposta do ezra-s que, quando você expande o all taquigrafia, você pode melhorar um pouco:

 SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 

simplesmente usando:

 SSLProtocol TLSv1.2
    
por 04.05.2017 / 10:17
7

que você especificou é suficiente, ele não deve mostrar nenhum outro protocolo. Lembre-se de que o SSLLABS armazena em cache testes recentes. Apesar de saber que não existem outros protocolos definindo-o como você fez é complicado de propósito.

Em qualquer caso, você pode usar isso ou simplesmente:

SSLProtocol TLSv1.2
    
por 04.05.2017 / 09:52