文章介绍了如何在Nginx1.13+和不同操作系统(如CentOS/Fedora/Ubuntu)的Apache服务器中更新SSL配置,移除不安全的TLS版本并启用TLS1.2和1.3,以提升服务器安全性。
nginx
我假设你有Nginx 1.13+
SSL设置下的默认配置(conf/nginx.conf)应如下所示
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
1
删除TLS1.0 TLSv1.1、增加TLS1.3,
TLSv1.3在行的末尾添加,因此它看起来如下所示
ssl_protocols TLSv1.2 TLSv1.3;
1
重启Nginx使配置生效
nginx -s reload
1
Apache
通常Apache的配置如下
SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
1
基于RedHat的发行版(CentOS,Fedora)配置文件/etc/httpd/conf/httpd.conf
基于Debian的发行版(Ubuntu)配置文件/etc/apache2/sites-enabled/目录下
删除+TLSv1 +TLSv1.1、增加TLSv1.3
SSLProtocol -ALL +TLSv1.2 +TLSv1.3
1
这个 应该是排除所有(注意ALL前面有个减号),只用 1.2 或 1.3
重启Apache使配置生效
# 基于RedHat的发行版(CentOS,Fedora)
systemctl restart httpd
# 基于Debian的发行版(Ubuntu)
service apache2 restart
1
2
3
4
5
实战demo:
使用了更早的apache(2.2)版本,默认的内容如下:
在其后增加-TLSv1 -TLSv1.1并保存
SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
1
apache要支持TLS1.2 版本要求
apache默认支持SSLv3,TLSv1,TLSv1.1,TLSv1.2协议
为了获得最佳的安全性,您将设置
SSLProtocol -all +TLSv1.2
1
SSLProtocol -all +TLSv1.2
的 ‘-all’ 参数删除其他SSL/TLS协议(SSLv1,的SSLv2,SSLv3和TLS1)。
'+ TLSv1.2’参数添加TLSv1.2。
————————————————
版权声明:本文为CSDN博主「西京刀客」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/inthat/article/details/122829324
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
