如何在Apache中禁用TLS 1.0和1.1以只启用TLS 1.2和TLS 1.3?
这是我第一次体验Amazon、Wordpress Multisite、Bitnami,甚至还有我们加密;现在看来,除了我的虚拟主机文件中的SSL指令之外,所有东西都正常工作。
因为似乎主要的浏览器--也就是Chrome,Safari/Webkit,Mozilla Firefox和IE/Edge --将在新的一年开始的时候,也就是在一月和三月--我想知道如何在Lightsail的Wordpress Multisite新实例中禁用TLS 1.0和TLS 1.1。
在获得了“让我们的转录SSL证书”并成功部署之后,我对其进行了测试,以验证是否启用了TLS 1.0和TLS 1.1以及TLS 1.2。现在看来,我的ApacheVersion2.4.39也支持TLS1.3,我正在尝试启用它并禁用这两个旧版本。在网上阅读时,我发现必须更改httpd.conf文件以插入此指令
SSLProtocol -all +TLSv1.2因此,在httpd.conf文件中,我找到了这个块,这似乎是正确的位置:
# Default SSL Virtual Host configuration.
<IfModule !ssl_module>
LoadModule ssl_module modules/mod_ssl.so
</IfModule>
Listen 443
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA$
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/opt/bitnami/apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
<VirtualHost _default_:443>
DocumentRoot "/opt/bitnami/apache2/htdocs"
SSLEngine on
SSLCertificateFile "/opt/bitnami/apache2/conf/mydomain.crt"
SSLCertificateKeyFile "/opt/bitnami/apache2/conf/mydomain.key"
<Directory "/opt/bitnami/apache2/htdocs">
Options Indexes FollowSymLinks
AllowOverride All
<IfVersion < 2.3 >
Order allow,deny
Allow from all
</IfVersion>
<IfVersion >= 2.3 >
Require all granted
</IfVersion>
</Directory>
# Error Documents
ErrorDocument 503 /503.html
# Bitnami applications installed with a prefix URL (default)
Include "/opt/bitnami/apache2/conf/bitnami/bitnami-apps-prefix.conf"
</VirtualHost>我试着简单地更新httpd.conf和httpd-ssl.conf,但是没有任何附加内容:TLS1.3不工作,而TLS1.0和TLS1.1总是不能工作的。
现在,我甚至读到了这个问题
Disabling TLS 1.0 in Apache 2.4
添加之后,这是httpd-ssl.conf文件中的ssl指令:
# SSLProtocol all -SSLv3
SSLProtocol +TLSv1.2 +TLSv1.3
#SSLProtocol all -TLSv1 -SSLv3
SSLProxyProtocol all +TLSv1.2 +TLSv1.3但是没有什么改变,现在我真的不知道如何启用TLS 1.3和禁用TLS 1.0和TLS 1.1。当然,每次更改之后,我都会重新启动Apache。
回答 3
Stack Overflow用户
发布于 2020-02-21 07:34:41
我也遇到了这个问题,并提出了以下解决方案:
从Lightsail dashboard
- Navigate到: /opt/bitnami/apache2/conf/bitnami/
- Add打开
- 实例,下面是bitnami.conf文件的一行:
听443
.#SSLProtocol -SSLv2 -SSLv3
SSLProtocol TLSv1.2
导航到: /opt/bitnami/apache2/conf/extra
- In httpd-ssl.conf文件,将哈希标记添加到以下行(不使用
- )。):
.#SSLCipherSuite HIGH:中等:MD5:RC4:!3 3DES
.#SSLProxyCipherSuite偏高:中等:MD5:RC4:!3 3DES
现在,从下面的行中移除hastag,使其读为:
SSLCipherSuite高点:中等:!SSLv3:!kRSA
SSLProxyCipherSuite高:中等:!SSLv3:!kRSA
- 现在在#SSL协议支持下,将设置更改为如下:
.#SSLProtocol all -SSLv3
SSLProtocol -TLSv1.2 -TLSv1.3 -SSLv3
.#SSLProxyProtocol全-SSLv3
SSLProxyProtocol -TLSv1.2 -TLSv1.3 -SSLv3
使用: sudo /opt/bitnami/ctlscript.sh重新启动apache
在两个网站上查看您的站点:
https://www.ssllabs.com/ssltest
您现在应该接收和得分,而不支持TLS1.0和TLS1.1协议。
Stack Overflow用户
发布于 2019-12-21 16:16:16
可能还不可能启用TLSv1.3。根据这个bitnami的社区帖子:
[ https://community.bitnami.com/t/tlsv1-3-support-for-new-lamp-stack-installers/67672 ]
ApacheTLSv1.3只支持ApacheVersion2.4.36,而OpenSSL 1.1.1...our堆栈包含OpenSSL 1.0.2,因此目前无法启用该协议。对不起国际贸易组织的…
等待更新..。
Stack Overflow用户
发布于 2022-08-22 21:39:18
如果您的站点落后于Cloudflare或类似的服务,那么无论您是否在SSLProtocol中正确设置了bitnami.conf,您都需要对Cloudflare本身进行TLS更改。
https://stackoverflow.com/questions/59417470
复制相似问题
腾讯云开发者
