TLS 1.0 (傳輸層安全性協定,Transport Layer Security, TLS) 已推出將近20年,已確認具有安全性漏洞,要將 TLS 安全性協定提升至 TLS 1.1 以上,並停用 SSL 2、SSL 3、TLS 1.0,以確保網站資料傳輸安全。
在 Apache 裡要停用 TLSv1.0 很簡單,只要到 /etc/httpd/conf.d/ssl.conf 小做修改即可:
一、 編輯一下 ssl.conf 設定檔:
vi /etc/httpd/conf.d/ssl.conf
二、找到 SSLProtocol 區段,用「+」、「-」的方式設定支援的協定,預設已經移除 SSLv2 和 SSLv3 (-SSLv2 -SSLv3),我們再將 TLSv1 移掉 (-TLSv1,如果連 TLSv1.1 要跟著移掉,那就再加上 -TLSv1.1)
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
三、存檔退出 ssl.conf 後,重啟 httpd 服務:
systemctl restart httpd
四、可到 https://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm 網站線上確認是否有成功做好設定:
五、也可以自行編譯一下 TestSSLServer,可在 GitHub 下載成 ZIP 檔:
https://github.com/pornin/TestSSLServer/
六、執行 build.cmd 編譯成可執行檔
七、執行 TestSSLServer2.exe + 測試網址,即可檢測出該網站使用的加密協定:
八、這樣就完成啦!