50.8. Configuração das versões do protocolo TLS suportadas em um Servidor HTTP Apache
Por padrão, o Servidor HTTP Apache no RHEL 8 utiliza a política de criptografia de todo o sistema que define valores seguros padrão, que também são compatíveis com navegadores recentes. Por exemplo, a política DEFAULT
define que somente as versões do protocolo TLSv1.2
e TLSv1.3
são habilitadas no Apache.
Esta seção descreve como configurar manualmente quais versões do protocolo TLS seu my_company.idm.example.com Apache HTTP Server suporta. Siga o procedimento se seu ambiente exigir que somente versões específicas do protocolo TLS sejam habilitadas, por exemplo:
-
Se seu ambiente exige que os clientes também possam utilizar o fraco protocolo
TLS1
(TLSv1.0) ouTLS1.1
. -
Se você quiser configurar que o Apache suporta apenas o protocolo
TLSv1.2
ouTLSv1.3
.
Pré-requisitos
- A criptografia TLS está habilitada no servidor my_company.idm.example.com, conforme descrito em Seção 50.7, “Adicionando criptografia TLS a um Servidor HTTP Apache”.
Procedimento
Edite o arquivo
/etc/httpd/conf/httpd.conf
, e adicione a seguinte configuração à diretiva<VirtualHost>
para a qual você deseja definir a versão do protocolo TLS. Por exemplo, para habilitar somente o protocoloTLSv1.3
:SSLProtocol -Todos os TLSv1.3
Reinicie o serviço
httpd
:# systemctl restart httpd
Etapas de verificação
Use o seguinte comando para verificar se o servidor suporta
TLSv1.3
:# openssl s_client -connect example.com:443 -tls1_3
Use o seguinte comando para verificar se o servidor não suporta
TLSv1.2
:# openssl s_client -connect example.com:443 -tls1_2
Se o servidor não suportar o protocolo, o comando retorna um erro:
140111600609088:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1543:SSL alert number 70
- Opcional: Repetir o comando para outras versões do protocolo TLS.
Recursos adicionais
-
Para mais detalhes sobre a política de criptografia do sistema, consulte a página de manual
update-crypto-policies(8)
e Utilizando políticas criptográficas de todo o sistema. -
Para mais detalhes sobre o parâmetro
SSLProtocol
, consulte a documentaçãomod_ssl
no manual do Apache. Para detalhes sobre a instalação do manual, consulte o manual Instalando o Servidor HTTP Apache.