Υποστήριξη LeaderSSL: εκτός σύνδεσης:
Δευτ-Παρ 9:00 - 18:00 Ώρα Κεντρικής Ευρώπης
Εξυπηρέτηση πελατών Χρέωση:

Δευτέρα — Παρασκευή:
9:00 - 18:00 Ώρα Κεντρικής Ευρώπης

Τεχνική υποστήριξη:

Δευτέρα — Παρασκευή:
9:00 - 18:00 Ώρα Κεντρικής Ευρώπης

Σύστημα παραγγελιών/έκδοση πιστοποιητικών:

24 ώρες, όλες τις μέρες της εβδομάδας

Ειδήσεις

Πώς απενεργοποιούνται οι μη ενημερωμένες εκδόσεις SSL/TLS στο Apache

How to disable outdated versions of SSL TLS in Apache

Από τις 30 Ιουνίου 2018, για λόγους συμβατότητας με το PCI, οι κάτοχοι τοποθεσιών θα πρέπει να αρνηθούν την υποστήριξη του TLS 1.0. Τα πρωτόκολλα TLS 1.0/1.1 και SSL 2.0/3.0 είναι υπό κατάργηση. Δεν παρέχουν επαρκή προστασία για τη μεταφορά δεδομένων. Ειδικότερα, το TLS 1.0 είναι ευάλωτο σε συγκεκριμένες επιθέσεις. Οι παραπάνω εκδόσεις των πρωτοκόλλων πρέπει να καταργηθούν σε περιβάλλοντα όπου απαιτείται υψηλό επίπεδο ασφάλειας.

Όλα σχεδόν τα σύγχρονα προγράμματα περιήγησης υποστηρίζουν TLS 1.2. Παρακάτω, θα εξετάσουμε πώς γίνεται η απενεργοποίηση των εκδόσεων TLS 1.0/1.1 και SSL 2.0/3.0 στο Apache.

1. Χρησιμοποιήστε το vi (ή το vim) για την επεξεργασία του ssl.conf (συνήθως βρίσκεται στο /etc/httpd/conf.d).

2. Αναζητήστε την ενότητα Υποστήριξη πρωτοκόλλου SSL:

# Υποστήριξη πρωτοκόλλου SSL:

# Παραθέστε τα επίπεδα ενεργοποίησης πρωτοκόλλου με τα οποία οι πελάτες θα μπορούν να

# συνδεθούν.  Απενεργοποιήστε την πρόσβαση SSLv2 από προεπιλογή

SSLProtocol all -SSLv2 -SSLv3

3. Σχολιάστε τη γραμμή SSLProtocol all -SSLv2 -SSLv3, προσθέτοντας ένα σύμβολο κατακερματισμού μπροστά της.

4. Προσθέστε μια γραμμή κάτω από αυτήν:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

5. Έχουμε απενεργοποιήσει τα TLS 1.0/1.1 και SSL 2.0/3.0 και διερευνούμε περαιτέρω το πρόγραμμα κρυπτογράφησης SSL.

# Πρόγραμμα κρυπτογράφησης SSL:

# Παραθέστε τις κρυπτογραφήσεις που επιτρέπεται να διαπραγματευτεί ο πελάτης.

# Για μια πλήρη λίστα δείτε την τεκμηρίωση mod_ssl.

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

6. Σχολιάστε τη γραμμή SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA και κάτω από αυτήν προσθέστε το παρακάτω:

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

Αυτή η επιλογή διασφαλίζει ότι η κρυπτογράφηση SSL χρησιμοποιείται μόνο με υψηλό βαθμό προστασίας.

Επίσης, προσθέστε κάτω από το SSLCipherSuite HIGH:!aNULL:!MD5:!3DES τη γραμμή:

SSLHonorCipherOrder on

Αυτή η παράμετρος διασφαλίζει ότι θα χρησιμοποιηθούν οι προτιμήσεις κρυπτογράφησης διακομιστή και όχι οι προτιμήσεις πελάτη.

Αποθηκεύστε το αρχείο και επανεκκινήστε το Apache:

service httpd restart

Στη συνέχεια, δοκιμάστε όλες τις εφαρμογές που αλληλεπιδρούν με τον διακομιστή σας. Εάν αντιμετωπίσετε προβλήματα, μπορείτε να καταργήσετε τα σχόλια (σύμβολο κατακερματισμού) και να επιστρέψετε στην προηγούμενη έκδοση του αρχείου.

Ακολουθήστε τις βέλτιστες πρακτικές SSL με τη LeaderTelecom!


Είστε έτοιμοι να το δοκιμάσετε;


Ναι! Ας το δοκιμάσουμε δωρεάν!

Έχετε ερωτήσεις;
Καλέστε μας τώρα στο +31 20 7640722