apache2 搭配letsencrypt certbot 关闭TLS 1.0 与TLS 1.1

Phanix
·
·
IPFS
·

因为安全性问题的关系,所以许多浏览器已经开始不支援TLS 1.0 与TLS 1.1,详细资讯在这边可以看到。

而使用certbot 安装letsencrypt 发的ssl 凭证,透过https://www.ssllabs.com/检查的时候都会因为侦测到系统还支援这两个版本TLS,所以评分会被打成B。

可是开apache2 的ssl设定(ubuntu 18.04 的话在/etc/apache2/mods-enable/ssl.conf) 就算把SSLProtocol 关掉TLSv1 TLSv1.1,在透过ssllabs 检查还是一样。原因是出在site config 里头其实都加上了

Include /etc/letsencrypt/options-ssl-apache.conf

所以真正要改的是/etc/letsencrypt/options-ssl-apache.conf,在SSLProtocol 那行关掉TLSv1 TLSv1.1 就可以了。

 SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Original link: Phanix's Blog

CC BY-NC-ND 2.0 授权

喜欢我的作品吗?别忘了给予支持与赞赏,让我知道在创作的路上有你陪伴,一起延续这份热忱!