1.6.2. Configuración de las versiones de protocolo TLS admitidas en un servidor HTTP Apache
Por defecto, el servidor HTTP Apache en RHEL 8 utiliza la política crypto de todo el sistema que define valores seguros por defecto, que además son compatibles con los navegadores recientes. Por ejemplo, la política DEFAULT
define que sólo las versiones del protocolo TLSv1.2
y TLSv1.3
están habilitadas en apache.
Esta sección describe cómo configurar manualmente las versiones del protocolo TLS que soporta su servidor HTTP Apache. Siga el procedimiento si su entorno requiere habilitar sólo versiones específicas del protocolo TLS, por ejemplo:
-
Si su entorno requiere que los clientes también puedan utilizar el protocolo débil
TLS1
(TLSv1.0) oTLS1.1
. -
Si quiere configurar que Apache sólo soporte el protocolo
TLSv1.2
oTLSv1.3
.
Requisitos previos
- El cifrado TLS está habilitado en el servidor como se describe en Sección 1.6.1, “Cómo añadir el cifrado TLS a un servidor HTTP Apache”.
Procedimiento
Edite el archivo
/etc/httpd/conf/httpd.conf
y añada la siguiente configuración a la directiva<VirtualHost>
para la que desea establecer la versión del protocolo TLS. Por ejemplo, para habilitar sólo el protocoloTLSv1.3
:SSLProtocolo -Todo TLSv1.3
Reinicie el servicio
httpd
:# systemctl restart httpd
Pasos de verificación
Utilice el siguiente comando para verificar que el servidor soporta
TLSv1.3
:# openssl s_client -connect example.com:443 -tls1_3
Utilice el siguiente comando para verificar que el servidor no soporta
TLSv1.2
:# openssl s_client -connect example.com:443 -tls1_2
Si el servidor no soporta el protocolo, el comando devuelve un error:
140111600609088:error:1409442E:Rutinas SSL:ssl3_read_bytes:versión del protocolo de alerta tlsv1:ssl/record/rec_layer_s3.c:1543:Número de alerta SSL 70
- Opcional: Repita el comando para otras versiones del protocolo TLS.
Recursos adicionales
-
Para más detalles sobre la política criptográfica a nivel de sistema, consulte la página man
update-crypto-policies(8)
y Using system-wide cryptographic policies. -
Para más detalles sobre el parámetro
SSLProtocol
, consulte la documentación demod_ssl
en el manual de Apache. Para más detalles sobre la instalación del manual, consulte Sección 1.8, “Instalación del manual del servidor HTTP Apache”.