Breve descripción
Todas las versiones del protocolo SSL/TLS anteriores a TLS 1.2 no están actualizadas y se consideran inseguras. La mayoría de los servidores web aún tienen estas versiones de TLS activadas de forma predeterminada. Puede desactivar estos protocolos si modifica la directiva SSLProtocol en los archivos de configuración del servidor web. La siguiente resolución contempla la desactivación de estas versiones no actualizadas de TLS en las instancias de Lightsail para los servidores web Apache y NGINX.
Nota: Si utiliza el equilibrador de carga de Amazon Lightsail para el sitio web, también debe desactivar la versión 1.0 y 1.1 de TLS en el equilibrador de carga. Sin embargo, actualmente no se admite la desactivación de las versiones de TLS en el equilibrador de carga de Lightsail. Para desactivar estas versiones de TLS y utilizar también el equilibrador de carga de Lightsail, utilice un equilibrador de carga de aplicación de Amazon en lugar de un equilibrador de carga de Lightsail.
Resolución
Nota: Las rutas de los archivos mencionados en este artículo pueden cambiar en función de los siguientes factores:
- La instancia tiene una pila de Bitnami y la pila de Bitnami utiliza paquetes nativos del sistema Linux (enfoque A).
- La instancia tiene una pila de Bitnami y es una instalación autónoma (enfoque B).
Si utiliza una instancia de Lightsail con una pila de Bitnami, ejecute el siguiente comando para identificar el tipo de instalación de Bitnami:
Instancias de Lightsail con una pila de Bitnami
Servicio web de Apache
1. Abra el archivo de configuración:
Pila de Bitnami según el enfoque A
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf
Pila de Bitnami según el enfoque B
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf
2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3:
SSLProtocol +TLSv1.2 +TLSv1.3
Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.
3. Guarde el archivo. Presione esc, escriba :wq! y, a continuación, presione ENTER.
4. Reinicie el servicio de Apache:
sudo /opt/bitnami/ctlscript.sh restart apache
Servicio web de NGINX
1. Abra el archivo de configuración:
sudo vi /opt/bitnami/nginx/conf/nginx.conf
2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3:
ssl_protocols TLSv1.2 TLSv1.3;
Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.
3. Guarde el archivo. Presione esc, escriba :wq! y, a continuación, presione ENTER.
4. Reinicie el servicio de Apache:
sudo /opt/bitnami/ctlscript.sh restart nginx
Instancias de Lightsail sin una pila de Bitnami
Servicio web de Apache
1. Abra el archivo de configuración:
Para distribuciones de Linux, como Amazon Linux 2 y CentOS
sudo vi /etc/httpd/conf.d/ssl.conf
Para distribuciones de Linux, como Ubuntu y Debian
sudo vi /etc/apache2/mods-enabled/ssl.conf
2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.
SSLProtocol +TLSv1.2 +TLSv1.3
Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.
3. Guarde el archivo. Presione esc, escriba :wq! y, a continuación, presione ENTER.
4. Reinicie el servicio de Apache:
Para distribuciones de Linux, como Amazon Linux 2 y CentOS
sudo systemctl restart httpd
Para distribuciones de Linux, como Ubuntu y Debian
sudo systemctl restart apache2
Servicio web de NGINX
1. Abra el archivo de configuración:
sudo vi /etc/nginx/nginx.conf
2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.
ssl_protocols TLSv1.2 TLSv1.3;
Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.
3. Guarde el archivo. Presione esc, escriba :wq! y, a continuación, presione ENTER.
4. Reinicie el servicio de Apache:
sudo systemctl restart nginx