Jeśli masz wiele TLS VirtualHosts i używasz Server Name Indication (SNI), dozwoloną składnią jest posiadanie SSLProtocol
dyrektywy dla każdego VirtualHost, ale jeśli nie masz IP VirtualHosts w praktyce, ustawienia od pierwszego wystąpienia SSLProtocol
dyrektywy są używane dla całego serwera i / lub wszystkie oparte na nazwach VirtualHosts obsługujące TLS 1 .
Więc sprawdź swoje główne httpd.conf
(i wszystkie zawarte fragmenty z na przykład conf.d/*.conf
i podobnych obejmuje) pod kątem więcej wystąpień SSLProtocol
dyrektywy.
Twoja składnia jest poprawna, chociaż zgadzam się z odpowiedzią ezra-e, że kiedy rozszerzysz all
skrót, możesz nieznacznie poprawić:
SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
po prostu używając:
SSLProtocol TLSv1.2
/etc/letsencrypt/options-ssl-apache.conf
podana przez Ciebie wartość jest wystarczająca, nie powinna pokazywać żadnych innych protokołów. Pamiętaj, że SSLLABS buforuje ostatnie testy. Chociaż świadomość, że nie ma innych protokołów definiujących to tak jak Ty, jest celowo trochę skomplikowana.
W każdym razie możesz użyć tego lub po prostu:
źródło
-ALL +TLSv1.2
?Walczyłem również z tym problemem, modyfikowanie konfiguracji za pomocą
SSLProtocol
dyrektywy nie działało. Skończyło się na dodaniu do mojej konfiguracji wirtualnego hosta:Który działał idealnie. Możesz przeczytać więcej o
SSLOpenSSLConfCmd
dyrektywie tutaj .źródło
Wyłącz wersję TLS1.0 w Apache.
Jeśli masz wiele hostów wirtualnych, musisz zaktualizować wszystkie pliki konfiguracji, w przeciwnym razie wystarczy plik ssl.conf.
Aby sprawdzić wersję obsługującą TSL:
Zmodyfikuj plik konfiguracyjny Apache,
vi /etc/httpd/conf.d/web.conf
usuń wszystkie TLS i zezwól tylko na TLS1.2.Sprawdź poprawność po modyfikacji.
źródło
Musisz zrestartować usługę Apache za pomocą następującego polecenia, aby odzwierciedlić zmiany.
Poniższy kod będzie dla mnie dobrze działał, możesz sprawdzić ten artykuł, aby uzyskać więcej informacji, https://karthikekblog.com/how-to-disable-enable-ssl-tls-protocols-in-ubentu-apache-linux-server/
źródło