apache2 搭配letsencrypt certbot 关闭TLS 1.0 与TLS 1.1

因为安全性问题的关系，所以许多浏览器已经开始不支援TLS 1.0 与TLS 1.1，详细资讯在这边可以看到。

而使用certbot 安装letsencrypt 发的ssl 凭证，透过https://www.ssllabs.com/检查的时候都会因为侦测到系统还支援这两个版本TLS，所以评分会被打成B。

可是开apache2 的ssl设定(ubuntu 18.04 的话在/etc/apache2/mods-enable/ssl.conf) 就算把SSLProtocol 关掉TLSv1 TLSv1.1，在透过ssllabs 检查还是一样。原因是出在site config 里头其实都加上了

Include /etc/letsencrypt/options-ssl-apache.conf

所以真正要改的是/etc/letsencrypt/options-ssl-apache.conf，在SSLProtocol 那行关掉TLSv1 TLSv1.1 就可以了。

 SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Original link: Phanix's Blog