Wie kann ich TLS 1.0 oder TLS 1.1 in meiner Lightsail-Instance ausschalten?

Kurzbeschreibung

Alle Versionen des SSL/TLS-Protokolls vor TLS 1.2 werden nicht mehr aktualisiert und gelten als unsicher. Bei den meisten Webservern sind diese TLS-Versionen weiterhin standardmäßig aktiviert. Sie können diese Protokolle ausschalten, indem Sie die SSLProtocol-Direktive in den Webserver-Konfigurationsdateien ändern. Die folgende Auflösung deckt das Deaktivieren dieser veralteten TLS-Versionen in Lightsail-Instances für Apache- und NGINX-Webserver ab.

Hinweis: Wenn Sie den Load Balancer von Amazon Lightsail für Ihre Website verwenden, müssen Sie auch TLS Version 1.0 und 1.1 im Load Balancer deaktivieren. Das Deaktivieren von TLS-Versionen im Lightsail Load Balancer wird derzeit jedoch nicht unterstützt. Verwenden Sie einen Amazon Application Load Balancer anstelle eines Lightsail Load Balancers, um diese TLS-Versionen zu deaktivieren und auch den Lightsail Load Balancer zu nutzen.

Lösung

Hinweis: Die in diesem Artikel erwähnten Dateipfade können sich je nach den folgenden Umständen ändern:

• Die Instance hat einen Bitnami-Stack und der Bitnami-Stack verwendet native Linux-Systempakete (Ansatz A).
• Die Instance hat einen Bitnami-Stack und es ist eine eigenständige Installation (Ansatz B).

Wenn Sie eine Lightsail-Instance mit einem Bitnami-Stack verwenden, führen Sie den folgenden Befehl aus, um Ihren Bitnami-Installationstyp zu identifizieren:

test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."

Lightsail-Instances mit einem Bitnami-Stack

Apache-Webservice

1.    Öffnen Sie die Konfigurationsdatei:

Bitnami-Stack unter Ansatz A

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

Bitnami-Stack unter Ansatz B

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2.    Ändern Sie in der Konfigurationsdatei die SSLProtocol-Direktive so, dass sie die TLS-Version widerspiegelt, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3:

SSLProtocol +TLSv1.2 +TLSv1.3

Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Sie können die Version überprüfen, indem Sie den Befehl openssl version ausführen.

3.    Speichern Sie die Datei durch Drücken von esc, geben Sie :wq! ein und drücken Sie dann ENTER.

4.    Starten Sie dann den Apache-Service neu:

sudo /opt/bitnami/ctlscript.sh restart apache

NGINX-Webservice

1.    Öffnen Sie die Konfigurationsdatei:

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2.    Ändern Sie in der Konfigurationsdatei die SSLProtocol-Direktive so, dass sie die TLS-Version widerspiegelt, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3:

ssl_protocols TLSv1.2 TLSv1.3;

Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Sie können die Version überprüfen, indem Sie den Befehl openssl version ausführen.

3.    Speichern Sie die Datei durch Drücken von esc, geben Sie :wq! ein und drücken Sie dann ENTER.

4.    Starten Sie dann den Apache-Service neu:

sudo /opt/bitnami/ctlscript.sh restart nginx

Lightsail-Instances ohne Bitnami-Stack

Apache-Webservice

1.    Öffnen Sie die Konfigurationsdatei:
Für Linux-Distributionen wie Amazon Linux 2 und CentOS

sudo vi /etc/httpd/conf.d/ssl.conf

Für Linux-Distributionen wie Ubuntu und Debian

sudo vi /etc/apache2/mods-enabled/ssl.conf

2.    Ändern Sie in der Konfigurationsdatei die SSLProtocol-Direktive so, dass sie die TLS-Version widerspiegelt, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Sie können die Version überprüfen, indem Sie den Befehl openssl version ausführen.

3.    Speichern Sie die Datei durch Drücken von esc, geben Sie :wq! ein und drücken Sie dann ENTER.

4.    Starten Sie dann den Apache-Service neu:

Für Linux-Distributionen wie Amazon Linux 2 und CentOS

sudo systemctl restart httpd

Für Linux-Distributionen wie Ubuntu und Debian

sudo systemctl restart apache2

NGINX-Webservice

1.    Öffnen Sie die Konfigurationsdatei:

sudo vi /etc/nginx/nginx.conf

2.    Ändern Sie in der Konfigurationsdatei die SSLProtocol-Direktive so, dass sie die TLS-Version widerspiegelt, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3.

ssl_protocols TLSv1.2 TLSv1.3;

Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Sie können die Version überprüfen, indem Sie den Befehl openssl version ausführen.

3.    Speichern Sie die Datei durch Drücken von esc, geben Sie :wq! ein und drücken Sie dann ENTER.

4.    Starten Sie dann den Apache-Service neu:

sudo systemctl restart nginx

---