¿Cómo se puede desactivar TLS 1.0 o TLS 1.1 en la instancia de Lightsail?

4 minutos de lectura

¿Cómo se puede desactivar TLS 1.0 o TLS 1.1 en la instancia de Amazon Lightsail?

Descripción breve

Todas las versiones del protocolo SSL/TLS anteriores a TLS 1.2 no están actualizadas y se consideran inseguras. La mayoría de los servidores web aún tienen estas versiones de TLS activadas de forma predeterminada. Puede desactivar estos protocolos si modifica la directiva SSLProtocol en los archivos de configuración del servidor web. La siguiente resolución contempla la desactivación de estas versiones no actualizadas de TLS en las instancias de Lightsail para los servidores web Apache y NGINX.

Nota: Si utiliza el balanceador de carga de Amazon Lightsail para el sitio web, también debe desactivar la versión 1.0 y 1.1 de TLS en el equilibrador de carga. Sin embargo, actualmente no se admite la desactivación de las versiones de TLS en el equilibrador de carga de Lightsail. Para desactivar estas versiones de TLS y utilizar también el equilibrador de carga de Lightsail, utilice un equilibrador de carga de aplicación de Amazon en lugar de un equilibrador de carga de Lightsail.

Resolución

Nota: Las rutas de los archivos mencionados en este artículo pueden cambiar en función de los siguientes factores:

La instancia tiene una pila de Bitnami y la pila de Bitnami utiliza paquetes nativos del sistema Linux (enfoque A).
La instancia tiene una pila de Bitnami y es una instalación autónoma (enfoque B).

Si utiliza una instancia de Lightsail con una pila de Bitnami, ejecute el siguiente comando para identificar el tipo de instalación de Bitnami:

test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."

Instancias de Lightsail con una pila de Bitnami

Servicio web Apache

1. Abra el archivo de configuración:

Pila de Bitnami bajo el enfoque A

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

Pila de Bitnami bajo el enfoque B

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3:

SSLProtocol +TLSv1.2 +TLSv1.3

Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.

3. Para guardar el archivo, pulse esc, escriba :wq! y, luego, presione Intro.

4. Reinicie el servicio de Apache:

sudo /opt/bitnami/ctlscript.sh restart apache

Servicio web de NGINX

1. Abra el archivo de configuración:

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3:

ssl_protocols TLSv1.2 TLSv1.3;

Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.

3. Para guardar el archivo, pulse esc, escriba :wq! y, luego, presione Intro.

4. Reinicie el servicio de Apache:

sudo /opt/bitnami/ctlscript.sh restart nginx

Instancias de Lightsail sin pila de Bitnami

Servicio web de Apache

1. Abra el archivo de configuración:
Para distribuciones Linux, como Amazon Linux 2 y CentOS

sudo vi /etc/httpd/conf.d/ssl.conf

Para distribuciones Linux, como Ubuntu y Debian

sudo vi /etc/apache2/mods-enabled/ssl.conf

2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.

3. Para guardar el archivo, pulse esc, escriba :wq! y, luego, presione Intro.

4. Reinicie el servicio de Apache:

Para distribuciones Linux, como Amazon Linux 2 y CentOS

sudo systemctl restart httpd

Para distribuciones Linux, como Ubuntu y Debian

sudo systemctl restart apache2

Servicio web de NGINX

1. Abra el archivo de configuración:

sudo vi /etc/nginx/nginx.conf

2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.

ssl_protocols TLSv1.2 TLSv1.3;

Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.

3. Para guardar el archivo, pulse esc, escriba :wq! y, luego, presione Intro.

4. Reinicie el servicio de Apache:

sudo systemctl restart nginx

Temas

Calcular

Etiquetas

Amazon Lightsail

Idioma

Español

OFICIAL DE AWSActualizada hace 3 meses

Contenido relevante

¿Cómo soluciono los errores HTTP 403 Forbidden (Prohibido) de un nombre de dominio personalizado de API Gateway que requiere una TLS mutua?
OFICIAL DE AWSActualizada hace 3 meses
¿Cómo utilizo certificados TLS para activar conexiones HTTPS en las aplicaciones de Amazon EKS?
OFICIAL DE AWSActualizada hace un mes
¿Qué protocolos de seguridad y cifrados admite CloudFront?
OFICIAL DE AWSActualizada hace 10 meses
¿Cómo puedo permitir el acceso a mis buckets de Amazon S3 a los clientes que no usan TLS 1.2 o superior?
OFICIAL DE AWSActualizada hace 5 meses