apache2 搭配 letsencrypt certbot 關閉 TLS 1.0 與 TLS 1.1
因為安全性問題的關係,所以許多瀏覽器已經開始不支援 TLS 1.0 與 TLS 1.1,詳細資訊在這邊可以看到。
而使用 certbot 安裝 letsencrypt 發的 ssl 憑證,透過https://www.ssllabs.com/檢查的時候都會因為偵測到系統還支援這兩個版本TLS,所以評分會被打成B。
可是開 apache2 的ssl設定 (ubuntu 18.04 的話在 /etc/apache2/mods-enable/ssl.conf) 就算把 SSLProtocol 關掉 TLSv1 TLSv1.1,在透過ssllabs 檢查還是一樣。原因是出在 site config 裏頭其實都加上了
Include /etc/letsencrypt/options-ssl-apache.conf
所以真正要改的是 /etc/letsencrypt/options-ssl-apache.conf,在 SSLProtocol 那行關掉TLSv1 TLSv1.1 就可以了。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
Original link: Phanix's Blog