Soporte de LeaderSSL: fuera de línea:
Lunes a Мiernes 9:00 - 18:00 Hora central europea (CET)

Noticias

Cómo desactivar versiones obsoletas de SSL/TLS en Apache

How to disable outdated versions of SSL TLS in Apache

Desde el 30 de junio de 2018, a efectos de compatibilidad con PCI, los propietarios de sitios deben rechazar el soporte de TLS 1.0. Los protocolos TLS 1.0/1.1 y SSL 2.0/3.0 han quedado obsoletos. No ofrecen una protección adecuada para la transferencia de datos. En particular, TLS 1.0 es vulnerable a determinados ataques. Las versiones antes mencionadas de los protocolos deben eliminarse de entornos que requieran un alto nivel de seguridad.

Casi todos los navegadores modernos soportan TLS 1.2. A continuación, veremos cómo desactivar las versiones TLS 1.0/1.1 y SSL 2.0/3.0 en Apache.

1. Utilice vi (o vim) para editar ssl.conf (normalmente ubicado en /etc/httpd/conf.d).

2. Busque la sección de soporte del protocolo SSL:

# SSL Protocol support:

# List the enable protocol levels with which clients will be able to

# connect.  Disable SSLv2 access by default:

SSLProtocol all -SSLv2 -SSLv3

3. Comente la línea SSLProtocol all -SSLv2 -SSLv3 agregando un símbolo de almohadilla delante de ella.

4. Agregue una línea debajo:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

5. Hemos desactivado TLS 1.0/1.1 y SSL 2.0/3.0 y examinamos más a fondo SSL Cipher Suite.

# SSL Cipher Suite:

# List the ciphers that the client is permitted to negotiate.

# See the mod_ssl documentation for a complete list.

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

6. Comente la línea SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA y agregue lo siguiente debajo:

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

Esta opción garantiza el uso de cifrado SSL solo con un alto grado de protección.

Debajo de SSLCipherSuite HIGH:!aNULL:!MD5:!3DES agregue asimismo la línea:

SSLHonorCipherOrder on

Este parámetro garantiza que se utilizarán las preferencias de cifrado del servidor, no las preferencias del cliente.

Guarde el archivo y reinicie Apache:

service httpd restart

A continuación, pruebe todas las aplicaciones que interactúan con su servidor. Si tiene algún problema, puede eliminar los comentarios (símbolo de almohadilla) y volver a la versión anterior del archivo.

¡Aplique las mejores prácticas de SSL con LeaderTelecom!


¿Está listo para probarlo?


¡Sí! ¡Lo quiero gratis!

¿Tiene dudas?
Llámenos al +31 20 7640722