Apache 停用 TLSv1.0 傳輸層安全性協定

TLS 1.0 (傳輸層安全性協定,Transport Layer Security, TLS) 已推出將近20年,已確認具有安全性漏洞,要將 TLS 安全性協定提升至 TLS 1.1 以上,並停用 SSL 2、SSL 3、TLS 1.0,以確保網站資料傳輸安全。


在 Apache 裡要停用 TLSv1.0 很簡單,只要到 /etc/httpd/conf.d/ssl.conf 小做修改即可:

一、 編輯一下 ssl.conf 設定檔:

#vi /etc/httpd/conf.d/ssl.conf

二、找到 SSLProtocol 區段,用「+」、「-」的方式設定支援的協定,預設已經移除 SSLv2 和 SSLv3 (-SSLv2 -SSLv3),我們再將 TLSv1 移掉 (-TLSv1,如果連 TLSv1.1 要跟著移掉,那就再加上 -TLSv1.1)

SSLProtocol all -SSLv2 -SSLv3 -TLSv1

三、存檔退出 ssl.conf 後,重啟 httpd 服務:

#systemctl restart httpd

四、可到 https://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm 網站線上確認是否有成功做好設定:

SSLv2, SSLv3, TLSv1 已關閉;TLSv1.1, TLSv1.2 啟用

五、也可以自行編譯一下 TestSSLServer,可在 GitHub 下載成 ZIP 檔:

https://github.com/pornin/TestSSLServer/

六、執行 build.cmd 編譯成可執行檔

執行 build.cmd 會編訪出 TestSSLServer2.exe 執行檔

七、執行 TestSSLServer2.exe + 測試網址,即可檢測出該網站使用的加密協定:

使用 TestSSLServer2.exe ishm.idv.tw 檢測網站的加密協定

八、這樣就完成啦!