1.6.3. Cómo configurar los cifrados admitidos en un servidor HTTP Apache
Por defecto, el servidor HTTP Apache en RHEL 8 utiliza la política de cifrado de todo el sistema que define valores seguros por defecto, que también son compatibles con los navegadores recientes. Para ver la lista de cifrados que permite la política de cifrado de todo el sistema, consulte el archivo /etc/crypto-policies/back-ends/openssl.config
.
Esta sección describe cómo configurar manualmente los cifrados que soporta su servidor HTTP Apache. Siga el procedimiento si su entorno requiere cifrados específicos.
Requisitos previos
- El cifrado TLS está habilitado en el servidor como se describe en Sección 1.6.1, “Cómo añadir el cifrado TLS a un servidor HTTP Apache”.
Procedimiento
Edite el archivo
/etc/httpd/conf/httpd.conf
y añada el parámetroSSLCipherSuite
a la directiva<VirtualHost>
para la que desea establecer los cifrados TLS:SSLCipherSuite \ "EECDH AESGCM:EDH AESGCM:AES256 EECDH:AES256 EDH:!SHA1:!SHA256"
Este ejemplo activa sólo los cifrados
EECDH AESGCM
,EDH AESGCM
,AES256 EECDH
, yAES256 EDH
y desactiva todos los cifrados que utilizan el código de autenticación de mensajes (MAC)SHA1
ySHA256
.Reinicie el servicio
httpd
:# systemctl restart httpd
Pasos de verificación
Para mostrar la lista de cifrados que soporta el servidor HTTP Apache:
Instale el paquete
nmap
:# yum install nmap
Utiliza la utilidad
nmap
para mostrar los cifrados soportados:# nmap --script ssl-enum-ciphers -p 443 example.com ... PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A ...
Recursos adicionales
-
Para más detalles sobre la política criptográfica a nivel de sistema, consulte la página man
update-crypto-policies(8)
y Using system-wide cryptographic policies. -
Para más detalles sobre el parámetro
SSLCipherSuite
, consulte la documentación demod_ssl
en el manual de Apache. Para más detalles sobre la instalación del manual, consulte Sección 1.8, “Instalación del manual del servidor HTTP Apache”.