আমি কীভাবে টিপিএস 1.0 এবং 1.1 এপাচে অক্ষম করতে পারি?


31

কেউ কি জানেন যে কেন আমি এইটিতে কনফিগার আপডেট করে tls 1.0 এবং tls1.1 অক্ষম করতে পারি না।

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 

এটি করার পরে, আমি অ্যাপাচি পুনরায় লোড করি এসএসএলএব বা কমোডো এসএসএল সরঞ্জাম ব্যবহার করে একটি এসএসএল স্ক্যান করি এবং এটি এখনও বলে যে টিএলএস 1.1 এবং 1.0 সমর্থিত। আমি এইগুলি মুছতে চাই?

উত্তর:


45

যখন আপনার একাধিক টিএলএস ভার্চুয়ালহোস্ট থাকে এবং সার্ভার নেম ইন্ডিকেশন (এসএনআই) SSLProtocol ব্যবহার করে তবে প্রতিটি ভার্চুয়ালহোস্টের জন্য নির্দেশনা রাখার অনুমতিপ্রাপ্ত সিনট্যাক্স , তবে যদি আপনার আইপি ভার্চুয়ালহস্টগুলি অনুশীলনে না করে থাকে SSLProtocolতবে পুরো সার্ভারের জন্য নির্দেশিকার প্রথম উপস্থিতি থেকে সেটিংস ব্যবহার করা হয় না এবং / অথবা সমস্ত নাম ভিত্তিক ভার্চুয়ালহোস্ট টিএলএস 1 সমর্থন করে ।

সুতরাং নির্দেশের আরও উপস্থিতিগুলির জন্য আপনার প্রধান httpd.conf(এবং উদাহরণস্বরূপ সমস্ত স্নিপেটগুলি অন্তর্ভুক্ত conf.d/*.confএবং অনুরূপ অন্তর্ভুক্ত) পরীক্ষা করুন SSLProtocol

আপনি সিনট্যাক্সটি সঠিক, যদিও আমি এজরা-র এই প্রশ্নের সাথে একমত যে আপনি যখন allশর্টহ্যান্ড প্রসারিত করবেন তখন আপনি কিছুটা উন্নতি করতে পারেন:

 SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 

সহজভাবে ব্যবহার করে:

 SSLProtocol TLSv1.2

এই সমস্ত বোধগম্য হয় যাইহোক আমি আপনার প্রস্তাবিত কি করেছি। "এসএসএলপ্রোটোকল" এর সমস্ত উল্লেখের জন্য আমি আমার / ইত্যাদি / httpd ডিরেক্টরিটি গ্রেপ্তার করেছি ' তারপরে আমি এটিকে এসএসএল প্রোটোকল টিএলএসভি ১.২ এ আপডেট করেছি, তারপরে পুনঃসূচনা করেছি এবং এটি এখনও দেখায় যে tls 1.0 এবং 1.1 সমর্থিত। আমি আমার অন্য একটি সার্ভার এবং একই সমস্যাটিতে এটি চেষ্টা করেছি tried কোন ধারনা?
ডেভিড

1
ভুয়া সতর্কতা, এটি প্রকৃতপক্ষে কমোডো এবং স্ল্যাব রিপোর্ট দ্বারা ক্যাশে করা হয়েছিল। মনে হচ্ছে এটি এখন সঠিকভাবে জানাচ্ছে। ধন্যবাদ.
ডেভিড

3
আমি মনে করি আপনি যে প্রোটোকলগুলি চান না তার জন্য বিয়োগ সহ "সমস্ত" ব্যবহার করার পরামর্শ দেব। ভবিষ্যতের সংস্করণগুলি অ্যাপাচে "সমস্ত" আলাদাভাবে সংজ্ঞায়িত করে কারণ নতুন মানগুলি বিকাশ করা হয় এবং পুরানো মানগুলি নিরাপত্তাহীন বলে মনে হয়।
ববপল

আপনি যদি লেটসক্রিপ্ট ব্যবহার করছেন তবে চেক করতে ভুলবেন না/etc/letsencrypt/options-ssl-apache.conf
মেমস

9

আপনি যে নির্দিষ্ট করেছেন তা যথেষ্ট, এটি অন্য কোনও প্রোটোকল প্রদর্শন করা উচিত নয়। মনে রাখবেন এসএসএলএলবিএস সাম্প্রতিক পরীক্ষাগুলি ক্যাশে করে। যদিও আপনার মতো এটির সংজ্ঞা দেওয়ার মতো অন্য কোনও প্রোটোকল নেই তা জেনে রাখা উদ্দেশ্য অনুযায়ী একরকম সংশ্লেষিত is

যে কোনও ক্ষেত্রে আপনি এটি বা সহজভাবে ব্যবহার করতে পারেন:

SSLProtocol TLSv1.2

নির্দিষ্ট করে দিলে কি কোনও পার্থক্য আছে -ALL +TLSv1.2?
চাজি চাজ

"সমস্ত" প্রসারিত হয় "+ SSLv3 + TLSv1 + TLSv1.1 + TLSv1.2" এ। "- সমস্ত" ব্যবহার করে আমি কোনও সুবিধা দেখছি না। প্রকৃতপক্ষে, ডকুমেন্টেশন থেকে এটি পরিষ্কার নয় যে "-সমস্ত" এমনকি বৈধ সিনট্যাক্স। আপনি [+/-] প্রোটোকলটি করতে পারেন তবে সবগুলি প্রোটোকল নয়: httpd.apache.org/docs/2.4/mod/mod_ssl.html
ববপল

6

আমি এই সমস্যাটির সাথেও লড়াই করে যাচ্ছিলাম, SSLProtocolনির্দেশিকার সাথে কনফিগারেশন সংশোধন কাজ করছে না। আমি আমার ভার্চুয়াল হোস্ট কনফিগারেশনে নিম্নলিখিতগুলি যুক্ত করে শেষ করেছি:

SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2"

যা নিখুঁতভাবে কাজ করেছে। আপনি এখানেSSLOpenSSLConfCmd নির্দেশিকা সম্পর্কে আরও পড়তে পারেন ।


4

অ্যাপাচে TLS1.0 সংস্করণ অক্ষম করুন।

আপনার যদি একাধিক ভার্চুয়াল হোস্টিং থাকে তবে আপনাকে সমস্ত কনফিগারেশন ফাইল আপডেট করতে হবে, অন্যথায়, ssl.confই যথেষ্ট।

টিএসএল সমর্থনকারী সংস্করণটি পরীক্ষা করতে:

# nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
|   TLSv1.0:
|   TLSv1.1:
|   TLSv1.2:

অ্যাপাচি কনফিগারেশন ফাইলটি পরিবর্তন করুন vi /etc/httpd/conf.d/web.confসমস্ত টিএলএস অপসারণ করুন এবং কেবল টিএলএস 1.2 মঞ্জুরি দিন।

SSLProtocol TLSv1.2

পরিবর্তনের পরে বৈধতা দিন।

# grep SSLProtocol /etc/httpd/conf.d/web.conf
SSLProtocol TLSv1.2

# nmap --script ssl-enum-ciphers -p 443 192.168.11.10 | grep TLSv
|   TLSv1.2:
# service httpd restart

-1

পরিবর্তনগুলি প্রতিফলিত করতে আপনাকে নীচের কমান্ডটি ব্যবহার করে অ্যাপাচি পরিষেবাটি পুনরায় চালু করতে হবে।

sudo service apache2 restart

নীচের কোডটি আমার পক্ষে ভাল কাজ করবে, আপনি আরও বিশদ জানতে এই নিবন্ধটি পরীক্ষা করতে পারেন, https://karthikekblog.com/how-to-disable-enable-ssl-tls-protocols-in-ubentu-apache-linux-server/

<VirtualHost *:443>
ServerName www.yourdomain.com
DocumentRoot /var/www/html
SSLEngine on
SSLProtocol +TLSv1.2
SSLCertificateFile /etc/apache2/certificates/certificate.crt
SSLCertificateKeyFile /etc/apache2/certificates/certificate.key 
SSLCertificateChainFile /etc/apache2/certificates/intermediate.crt
</VirtualHost>

এটি কোনও কিছুই অক্ষম করবে না। এটি কেবলমাত্র TLSv1.2 সক্ষম করবে। এবং কীভাবে পুনরায় চালু করবেন তা বিতরণে বিতরণ এবং এমনকি একই বিতরণের সংস্করণগুলির মধ্যে পরিবর্তিত হয়।
জেরাল্ড স্নাইডার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.