Вопрос или проблема
Я хочу отключить TLSv1.2 в своей системе на базе CentOS. У меня не так много знаний в управлении серверами или протоколах безопасности, но в отчете VAPT говорится, что нам нужно закрыть TLSv1.2. У меня есть два файла для изменения: httpd.conf и ssl.conf, оба содержат SSLProtocol. Для справки я привел их здесь.
SSL.conf:
<VirtualHost _default_:443>
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 +TLSv1.3
SSLProxyCipherSuite PROFILE=SYSTEM
</VirtualHost>
httpd.conf
<VirtualHost *:443>
ServerName XYZZZ.in
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 +TLSv1.3
Header always set Permissions-Policy "interest-cohort=()"
Redirect permanent / XYZ.in
</VirtualHost>
Указанный выше код все еще не помогает. TLSv1.2 все еще включен. Я использую sslscan.exe для проверки. Пожалуйста, помогите, если вы знаете решение.
Ответ или решение
Для отключения протокола TLSv1.2 на вашей системе на базе CentOS (или RHEL), вам нужно изменить конфигурацию Apache, как вы уже упомянули. Давайте рассмотрим шаги, которые необходимо выполнить для этого.
Шаг 1: Редактирование конфигурационных файлов
Вы правильно указали, что вам нужно редактировать два файла: httpd.conf и ssl.conf. Убедитесь, что вы используете правильный синтаксис. Например, вы можете обновить строку SSLProtocol в обоих файлах следующим образом:
-
Откройте файл
ssl.conf:sudo nano /etc/httpd/conf.d/ssl.confили
sudo vi /etc/httpd/conf.d/ssl.confИзмените строку:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 +TLSv1.3на:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 -
Откройте файл
httpd.conf:sudo nano /etc/httpd/conf/httpd.confили
sudo vi /etc/httpd/conf/httpd.confИзмените строку:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 +TLSv1.3на:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
Шаг 2: Перезапуск Apache
После изменения конфигурации вам необходимо перезагрузить Apache, чтобы изменения вступили в силу. Выполните следующую команду:
sudo systemctl restart httpdШаг 3: Проверка
После перезапуска сервера вы можете снова использовать sslscan или аналогичный инструмент для проверки, что TLSv1.2 действительно отключен. Выполните команду:
sslscan yourdomain.comОбратите внимание на вывод и убедитесь, что TLSv1.2 больше не указан в списке поддерживаемых протоколов.
Дополнительные советы
-
Полезные инструменты: Используйте такие инструменты, как Qualys SSL Labs SSL Test для получения более детальной информации о конфигурации вашего SSL.
-
Резервное копирование: Перед внесением изменений в конфигурационные файлы сделайте их резервные копии, чтобы в случае ошибки можно было восстановить предыдущие настройки.
-
Безопасность: Убедитесь, что ваши серверы всегда обновлены, а используемые сигнатуры шифрования безопасны. Проанализируйте рекомендации по безопасности для определения безопасных шифров и протоколов.
В случае дальнейших вопросов не стесняйтесь обращаться за помощью.