Apache’de TLS 1.3 / TLS 1.2 Etkinleştirme

SSL ve TLS’in 1.2’den önceki sürümleri POODLE (CVE-2014-3566) gibi bilinen pek çok güvenlik açığına sahiptir. Bu nedenle, en son tarayıcılar bu protokoller için desteği kaldırmıştır. Hem sunucu güvenliği hem de tarayıcı erişimlerinde sıkıntı yaşanmaması için sunucudaki TLS konfigürasyonunun TLS 1.2 ve üzerini desteklemesi önerilmektedir. Apache üzerinde de konfigürasyon dosyası üzerinde yapılacak değişikliklerle web sunucuları için TLS 1.2 ve TLS 1.3 sürümlerini aktif edebiliriz.

Konfigürasyon dosyaları da Debian / Ubuntu tabanlı sistemlerde /etc/apache2/sites-enabled dizini içerisinde bulunur. CentOS / RHEL tabanlı sistemlerde de /etc/httpd/conf/httpd.conf dosyasında veya /etc/httpd/conf.d dizini altında yapılandırma dosyaları mevcuttur. Konfügürasyon dosyasına aşağıdaki komutları ekleyerekte gerekli aktifleşme işlemini gerçekleştirebiliriz.

TLS 1.2

SSLProtocol -all +TLSv1.2

TLS 1.2 ve TLS 1.3

SSLProtocol -all +TLSv1.2 +TLSv1.3

** TLS 1.3 sürümü için Apache sürümünün 2.4.38 veya üzerinde olması gerekmektedir. Sunucudaki Apache sürümünü şu an için desteklemeyen sunucularda sadece TLS 1.2 aktif edilmesi gerekmektedir.

Örneğin, TLS 1.2 ve TLS 1.3’ü aktif ettiğimiz örnek bir virtual host dosyası aşağıdaki gibi gözükecektir.

<VirtualHost *:443>
ServerName www.sanal.pro sanal.pro
DocumentRoot /var/www/html

SSLEngine on
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCertificateFile /etc/letsencrypt/ssl/sanal.pro/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/ssl/sanal.pro/privkey.pem
</VirtualHost>

Yorum yapın