20.8. Définition des versions du protocole TLS prises en charge sur un serveur HTTP Apache
Par défaut, le serveur HTTP Apache sur RHEL utilise la politique cryptographique du système qui définit des valeurs par défaut sûres, qui sont également compatibles avec les navigateurs récents. Par exemple, la politique DEFAULT
définit que seules les versions des protocoles TLSv1.2
et TLSv1.3
sont activées dans Apache.
Cette section décrit comment configurer manuellement les versions du protocole TLS prises en charge par votre serveur HTTP Apache my_company.idm.example.com. Suivez la procédure si votre environnement exige de n'activer que certaines versions du protocole TLS, par exemple :
-
Si votre environnement l'exige, les clients peuvent également utiliser le protocole faible
TLS1
(TLSv1.0) ouTLS1.1
. -
Si vous souhaitez configurer Apache pour qu'il ne prenne en charge que le protocole
TLSv1.2
ouTLSv1.3
.
Conditions préalables
- Le cryptage TLS est activé sur le serveur my_company.idm.example.com comme décrit dans Ajouter le cryptage TLS à un serveur HTTP Apache.
Procédure
Modifiez le fichier
/etc/httpd/conf/httpd.conf
et ajoutez le paramètre suivant à la directive<VirtualHost>
pour laquelle vous souhaitez définir la version du protocole TLS. Par exemple, pour activer uniquement le protocoleTLSv1.3
:SSLProtocol -All TLSv1.3
Redémarrez le service
httpd
:# systemctl restart httpd
Verification steps
Utilisez la commande suivante pour vérifier que le serveur prend en charge
TLSv1.3
:# openssl s_client -connect example.com:443 -tls1_3
Utilisez la commande suivante pour vérifier que le serveur ne prend pas en charge
TLSv1.2
:# openssl s_client -connect example.com:443 -tls1_2
Si le serveur ne prend pas en charge le protocole, la commande renvoie une erreur :
140111600609088:error:1409442E:Routines SSL:ssl3_read_bytes:version du protocole d'alerte tlsv1:ssl/record/rec_layer_s3.c:1543:alerte SSL numéro 70
- Facultatif : Répétez la commande pour d'autres versions du protocole TLS.
Ressources supplémentaires
-
update-crypto-policies(8)
page de manuel - Utilisation de politiques cryptographiques à l'échelle du système.
-
Pour plus de détails sur le paramètre
SSLProtocol
, reportez-vous à la documentationmod_ssl
dans le manuel Apache : Installation du serveur HTTP Apache.