LeaderTelecom

Come disabilitare le versioni precedenti di SSL/TLS su Apache

Dal 30 giugno 2018, per la compatibilità con PCI, i proprietari di siti non supportano più TLS 1.0. I protocolli TLS 1.0/1.1 e SSL 2.0/3.0 sono obsoleti e non garantiscono una protezione adeguata per il trasferimento dei dati. In particolare, TLS 1.0 è vulnerabile a determinati attacchi. Le versioni dei protocolli sopracitate devono essere eliminate negli ambienti che richiedono un livello elevato di sicurezza.

Quasi tutti i browser più recenti supportano TLS 1.2. Seguono le istruzioni per disabilitare le versioni di TLS 1.0/1.1 e SSL 2.0/3.0 su Apache.

1. Utilizza vi (o vim) per modificare ssl.conf (normalmente situato in /etc/httpd/conf.d).

2. Cerca la sezione SSL Protocol Support:

# SSL Protocol support:

# List the enable protocol levels with which clients will be able to

# connect.  Disable SSLv2 access by default:

SSLProtocol all -SSLv2 -SSLv3

3. Commenta la riga SSLProtocol all -SSLv2 -SSLv3 aggiungendo un simbolo di cancelletto prima del testo.

4. Aggiungi una riga in basso:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

5. Abbiamo disabilitato TLS 1.0/1.1 e SSL 2.0/3.0 e stiamo verificando SSL Cipher Suite.

# SSL Cipher Suite:

# List the ciphers that the client is permitted to negotiate.

# See the mod_ssl documentation for a complete list.

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

6. Commenta la riga SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA e aggiungi il seguente testo in basso:

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

Questa opzione assicura l'utilizzo esclusivo della crittografia SSL con un alto livello di protezione.

Sotto SSLCipherSuite HIGH:!aNULL:!MD5:!3DES, aggiungi la riga:

SSLHonorCipherOrder on

Questo parametro assicura l'utilizzo delle preferenze della crittografia del server e non le preferenze del cliente.

Salva il file e riavvia Apache:

service httpd restart

In seguito, verifica tutte le applicazioni che interagiscono con il tuo server. In caso di problemi, puoi rimuovere i commenti (simbolo del cancelletto) e tornare alla versione precedente del file.

Segui le migliori pratiche in ambito SSL con LeaderTelecom!