Apache - Onveilige SSL versies uitschakelen

Om je website zo veilig mogelijk te houden, is het belangrijk ervoor te zorgen dat deze alleen met veilige protocollen werkt. Het uitschakelen van onveilige protocollen wordt daarom sterk aangeraden. Op dit moment zijn alle SSL-protocollen onveilig, en zijn TLS 1.0 en TLS 1.1 gemarkeerd als end-of-life. TLS 1.2 is nog steeds veilig, maar TLS 1.3 heeft de voorkeur.

Je kunt dit aanpassen in de SSL configuratie van Apache.

  1. Open ssl.conf (doorgaans te vinden in /etc/httpd; de exacte locatie hangt van het besturingssysteem af), pas de regels als volgt aan:
    SSLProtocol ALL -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
  2. Het kan zijn dat er meerdere keren de SSLProtocol optie in het bestand is opgenomen, pas deze allemaal aan.
  3. Sla de wijzigingen op en herstart Apache
  4. Test of het is gelukt met het volgende commando SSLv2 (dit zou een foutmelding moeten geven als het gelukt is):
    # openssl s_client -ssl2 -connect virtualhostnaam:443 -jouwdomeinnaam.nl
  5. Test ook TLS1.3:
    # openssl s_client -connect domainname.com:443 -jouwdomeinnaam.nl -tls1_3
  6. Controleer of de sites nog wel goed werken met TLSv1.2:
    # openssl s_client -connect domainname.com:443 -jouwdomeinnaam.nl -tls1_2

Raadpleeg de SSLCheck om te controleren of een verouderde protocollen toelaat.

Je kunt de Mozilla SSL Configurator gebruiken voor de configuratie standaarden.

point up