Podpora LeaderSSL: nedosegljivo:
pon–pet 9:00 - 18:00 srednjeevropski èas (CET)
Služba za stranke Zaraèunavanje:

ponedeljek–petek:
9:00 - 18:00 srednjeevropski èas (CET)

Tehnièna podpora:

ponedeljek–petek:
9:00 - 18:00 srednjeevropski èas (CET)

Sistem za naroèanje/izdajanje potrdila:

24/7

Novice

Kako onemogočiti zastarele različice protokola SSL/TLS v strežniku Apache

How to disable outdated versions of SSL TLS in Apache

Od 30. junija 2018 lastniki spletnih mest zaradi združljivosti s PCI ne smejo več podpirati  protokola TLS 1.0. Protokola TLS 1.0/1.1 in SSL 2.0/3.0 sta zastarela. Ne zagotavljata ustrezne zaščite za prenos podatkov. Zlasti protokol TLS 1.0 je ranljiv za nekatere napade. Omenjene različice protokolov je treba odstraniti v okoljih, ki zahtevajo visoko raven varnosti.

Skoraj vsi sodobni brskalniki podpirajo protokol TLS 1.2. V nadaljevanju bomo obravnavali, kako onemogočiti različice TLS 1.0/1.1 in SSL 2.0/3.0 v strežniku Apache.

1. S programom vi (ali vim) uredite datoteko ssl.conf (običajno se nahaja v mapi /etc/httpd/conf.d).

2.  Poiščite razdelek »SSL Protocol Support«:

# SSL Protocol support:

# List the enable protocol levels with which clients will be able to

# connect.  Disable SSLv2 access by default:

SSLProtocol all -SSLv2 -SSLv3

3. Spremenite vrstico »SSLProtocol all -SSLv2 -SSLv3« v komentar tako, da pred njo dodate simbol #.

4. Pod njo dodajte vrstico:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

5. Onemogočili smo TLS 1.0/1.1 in SSL 2.0/3.0 ter nadalje raziskujemo razdelek »SSL Cipher Suite«.

# SSL Cipher Suite:

# List the ciphers that the client is permitted to negotiate.

# See the mod_ssl documentation for a complete list.

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

6. Spremenite vrstico »SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA« v komentar in pod njo dodajte naslednje:

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

Ta možnost zagotavlja uporabo šifriranja SSL samo z visoko stopnjo zaščite.

Pod »SSLCipherSuite HIGH:!aNULL:!MD5:!3DES« dodajte tudi vrstico:

SSLHonorCipherOrder on

Ta parameter zagotavlja, da bodo uporabljene strežnikove šifrirne nastavitve in ne odjemalčeve.

Shranite datoteko in znova zaženite Apache:

service httpd restart

Nato preizkusite vse aplikacije, ki komunicirajo s strežnikom. Če se pojavijo težave, lahko odstranite komentarje (simbol #) in se vrnete na prejšnjo različico datoteke.

Z LeaderTelecom sledite najboljšim praksam SSL!


Ste pripravljeni za preizkus?


Da! Želim brezplačen preizkus!

Imate vprašanja?
Pokličite nas na +31 20 7640722