apache2 搭配 letsencrypt certbot 關閉 TLS 1.0 與 TLS 1.1

因為安全性問題的關係，所以許多瀏覽器已經開始不支援 TLS 1.0 與 TLS 1.1，詳細資訊在這邊可以看到。

而使用 certbot 安裝 letsencrypt 發的 ssl 憑證，透過https://www.ssllabs.com/檢查的時候都會因為偵測到系統還支援這兩個版本TLS，所以評分會被打成B。

可是開 apache2 的ssl設定 (ubuntu 18.04 的話在 /etc/apache2/mods-enable/ssl.conf) 就算把 SSLProtocol 關掉 TLSv1 TLSv1.1，在透過ssllabs 檢查還是一樣。原因是出在 site config 裏頭其實都加上了

Include /etc/letsencrypt/options-ssl-apache.conf

所以真正要改的是 /etc/letsencrypt/options-ssl-apache.conf，在 SSLProtocol 那行關掉TLSv1 TLSv1.1 就可以了。

SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Original link: Phanix's Blog