Включение TLS 1.1, 1.2 в Apache

По умолчанию в конфигурационном файле Apache включены протоколы безопасного соединения SSL 2.0, SSL 3.0 и TLS 1.0. Для большей безопасности, да и вообще для следования стандартам в сфере web-безопасности нужно отключить SSL и включить TLS 1.1 и 1.2.

Делается всё относительно просто — в файл конфигурации Apache вносятся следующие изменения:

(предварительно конечно же нужно указать путь к сертификатам и ключам, да и вообще включить SSL и получить сертификат, но это тема отдельной статьи)

Файл /etc/apache2/apache.conf

 SSLCertificateFile /usr/local/apache/conf/my.site.cer  #открытый ключ шифрования
 SSLCertificateKeyFile /usr/local/apache/conf/my.site.key #закрытый (приватный) ключ сервера
 SSLCACertificateFile /usr/local/apache/conf/server.ca.pem #ключ УЦ, обычно есть в составе Apache
 SSLEngine on #включаем шифрование
 SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2 #включаем  поддержку новых протоколов, оставляя старые задействованными для совместимости


На мобильных браузерах при заходе на сайт появляется ошибка безопасности, связанная  с отсутствием цепочки сертификатов (от личного сертификата до корневого). Для исправления данной ошибки необходимо установить в систему на сервер ещё один дополнительный промежуточный сертификат (Intermediate Certificate), который доступен в личном кабинете или на сайте компании, выдавшей сертификат.

В файле /etc/apache2/apache.conf строку

SSLCACertificateFile /usr/local/apache/conf/server.ca.pem

заменить на

SSLCertificateChainFile /usr/local/apache/conf/server.ca.cer

Всё.

 

1 thought on “Включение TLS 1.1, 1.2 в Apache

  1. Уведомление: Бесплатный валидный (подписанный) SSL-сертификат через StartSSL | kurazhov's blog

Добавить комментарий

Ваш e-mail не будет опубликован.