从2018年6月30日开始,网站需要停止支持传输层安全(TLS)1.0版以保持PCI兼容。TLS 1.0 / 1.1和安全套接字层2.0 / 3.0协议已过时,并且不能提供安全传输数据所需的加密技术。特别是TLS 1.0版包含某些恶意软件攻击的漏洞。所有这些过时的协议都应该从使用中移除,特别是在需要高安全级别的环境中。
在Apache Web服务器上使用TLS 1.0 / 1.1和SSL 2.0 / 3.0是非常容易的,因为它倾向于独占使用TLS 1.2,但是,老客户或应用程序如果不支持TLS 1.2,那访问可能会受到影响。
请记住,现代web浏览器都将支持TLS,1。2,应该不会有任何问题,但在开发系统之前,首先要对开发系统进行修改,然后确认功能。
为此,请按照下列步骤操作:
1.使用vi(或vim)编辑/etc/httpd/conf.d/ssl.conf(或者与此Apache安装相关的ssl.conf文件所在的位置)
2.查找“SSL协议支持”部分。它可能会读作如下:
#SSL协议支持:#列出客户端将能够连接的启用协议级别。默认禁用SSLv2访问:SSLProtocol all -SSLv2
3.注释掉“SSLProtocol all -SSLv2”并在其下面添加以下行:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
现在该部分应如下所示:
#SSL协议支持:#列出客户端将能够连接的启用协议级别。默认禁用SSLv2访问:#SSLProtocol all -SSLv2
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
此设置会关闭TLS 1.0 / 1.1和SSL 2.0 / 3.0。
4.查找SSL密码套件部分。它可能会读作如下:
#SSL密码套件:#列出允许客户端进行协商的密码#查看mod_ssl文档获取完整列表.SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
5.注释掉“SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA”,并在其下面添加以下行:
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
现在该部分应如下所示:
#SSL密码套件:#列出允许客户端进行协商的密码#查看mod_ssl文档以获取完整列表#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEASSLCipherSuite HIGH:!aNULL:! MD5:3DES
此设置确保只使用高安全性的SSL密码。
现在在“SSLCipherSuite HIGH:!aNULL:!MD5:!3DES”下添加“SSLHonorCipherOrder on”或向下滚动到“速度优化的SSL密码配置:”部分,并将其添加到下面(实际添加的位置并不重要这些设置,但它有助于保持统一,所以所有配置文件都有相应的设置部分):
#速度优化的SSL密码配置:
#如果速度是您主要关心的问题(例如在繁忙的HTTPS服务器上),
#您可能希望强制客户端使用特定的性能#优化密码。在这种情况下,将这些密码:
#添加到SSLCipherSuite列表中,并启用SSLHonorCipherOrder。
#注意:通过优先考虑RC4-SHA和AES128-SHA
#(如下例所示),大多数连接将不再
具有完美保密性 , 如果服务器的密钥被:
#入侵,则过去或未来流量的捕获必须是
#考虑妥协,也是.SSLHonorCipherOrder
此设置确保遵循服务器的密码首选项,而不是客户端的一致性。
将该文件保存在编辑器中,然后重新启动Apache服务以使其生效:
重启服务httpd
现在确保使用任何客户端或应用程序来确认成功,彻底测试对Web服务器的访问权限。如果遇到问题,可以通过编辑ssl.conf文件来反转更改,注释掉所做的添加,取消原始设置的注释,保存文件然后重新启动httpd服务。
