Seguridad

Cómo habilitar TLS 1.3/1.2 en Apache

Cómo habilitar TLS 1.3/1.2 en Apache

Todas las versiones SSL y TLS mayores de 1.2 tienen muchas vulnerabilidades conocidas como Poodle (CVE-2014-3566), por eso los últimos navegadores han eliminado el apoyo a estos protocolos vulnerables. También recomendamos mover su servidor para usar versiones TLS y específicamente a TLS 1.2. Este tutorial te ayudará a habilitar TLS 1.2 y TLS 1.3 en servidores mod_ssl y apache.

  • Instalar y usar en cifrado SSL con Apache

Requisitos previos

Para habilitar TLS 1.3 Debes tener Apache versión 2.4.38 o más en su sistema. También busque el archivo de configuración de host virtual SSL su sistema.

En general, los sistemas basados ​​en Debian tienen archivos bajo /etc/apache2/sitios habilitado directorio.

Y el sistema basado en Redhat (RPM) tiene la configuración en /etc/httpd/conf/httpd.confusión Archivo o un archivo extendido en /etc/httpd/conf.d directorio.

Habilitar TLS 1.2 Solo en Apache

Primero, edite la sección de host virtual para su dominio en el archivo de configuración de Apache SSL en su servidor y agregue Establecer el Sslprotocol como siguientes. Esto deshabilitará todos los protocolos más antiguos y su servidor Apache y habilitará TLSV1.2 solamente.

 Sslprotocol -alt +tlsv1.2

El host virtual de Apache mínimo con SSL se ve así:

 Servername www.ejemplo.com documentroot/var/www/html sslengine en sslprotocol -alt +tlsv1.2 sslcertificateFile/etc/letsencrypt/live/ejemplo.com/cert.PEM SSLCertificAtekeyFile/Etc/Letsencrypt/Live/Ejemplo.com/privkey.pem

Habilitar TLS 1.3 y 1.2 Ambos en Apache

La versión 2 de Apache.4.Versiones 38 o superiores admiten TLS V1.3. Debe actualizar los paquetes Apache antes de habilitar TLS 1.3 en la configuración de SSL.

 Sslprotocol -alt +tlsv1.2 +TLSV1.3

El apache virtualhost más simple con SSL se ve a continuación

 Servername www.ejemplo.com documentroot/var/www/html sslengine en sslprotocol -alt +tlsv1.2 +TLSV1.3 sslcertificatefile/etc/letsencrypt/live/ejemplo.com/cert.PEM SSLCertificAtekeyFile/Etc/Letsencrypt/Live/Ejemplo.com/privkey.pem

Después de hacer cambios en su archivo de configuración, reinicie el servicio Apache para aplicar nuevas configuraciones.