¿Cómo se puede desactivar TLS 1.0 o TLS 1.1 en la instancia de Lightsail?
¿Cómo se puede desactivar TLS 1.0 o TLS 1.1 en la instancia de Amazon Lightsail?
Descripción breve
Todas las versiones del protocolo SSL/TLS anteriores a TLS 1.2 no están actualizadas y se consideran inseguras. La mayoría de los servidores web aún tienen estas versiones de TLS activadas de forma predeterminada. Puede desactivar estos protocolos si modifica la directiva SSLProtocol en los archivos de configuración del servidor web. La siguiente resolución contempla la desactivación de estas versiones no actualizadas de TLS en las instancias de Lightsail para los servidores web Apache y NGINX.
Nota: Si utiliza el balanceador de carga de Amazon Lightsail para el sitio web, también debe desactivar la versión 1.0 y 1.1 de TLS en el equilibrador de carga. Sin embargo, actualmente no se admite la desactivación de las versiones de TLS en el equilibrador de carga de Lightsail. Para desactivar estas versiones de TLS y utilizar también el equilibrador de carga de Lightsail, utilice un equilibrador de carga de aplicación de Amazon en lugar de un equilibrador de carga de Lightsail.
Resolución
Nota: Las rutas de los archivos mencionados en este artículo pueden cambiar en función de los siguientes factores:
- La instancia tiene una pila de Bitnami y la pila de Bitnami utiliza paquetes nativos del sistema Linux (enfoque A).
- La instancia tiene una pila de Bitnami y es una instalación autónoma (enfoque B).
Si utiliza una instancia de Lightsail con una pila de Bitnami, ejecute el siguiente comando para identificar el tipo de instalación de Bitnami:
test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."
Instancias de Lightsail con una pila de Bitnami
Servicio web Apache
1. Abra el archivo de configuración:
Pila de Bitnami bajo el enfoque A
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf
Pila de Bitnami bajo el enfoque B
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf
2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3:
SSLProtocol +TLSv1.2 +TLSv1.3
Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.
3. Para guardar el archivo, pulse esc, escriba :wq! y, luego, presione Intro.
4. Reinicie el servicio de Apache:
sudo /opt/bitnami/ctlscript.sh restart apache
Servicio web de NGINX
1. Abra el archivo de configuración:
sudo vi /opt/bitnami/nginx/conf/nginx.conf
2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3:
ssl_protocols TLSv1.2 TLSv1.3;
Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.
3. Para guardar el archivo, pulse esc, escriba :wq! y, luego, presione Intro.
4. Reinicie el servicio de Apache:
sudo /opt/bitnami/ctlscript.sh restart nginx
Instancias de Lightsail sin pila de Bitnami
Servicio web de Apache
1. Abra el archivo de configuración:
Para distribuciones Linux, como Amazon Linux 2 y CentOS
sudo vi /etc/httpd/conf.d/ssl.conf
Para distribuciones Linux, como Ubuntu y Debian
sudo vi /etc/apache2/mods-enabled/ssl.conf
2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.
SSLProtocol +TLSv1.2 +TLSv1.3
Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.
3. Para guardar el archivo, pulse esc, escriba :wq! y, luego, presione Intro.
4. Reinicie el servicio de Apache:
Para distribuciones Linux, como Amazon Linux 2 y CentOS
sudo systemctl restart httpd
Para distribuciones Linux, como Ubuntu y Debian
sudo systemctl restart apache2
Servicio web de NGINX
1. Abra el archivo de configuración:
sudo vi /etc/nginx/nginx.conf
2. En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.
ssl_protocols TLSv1.2 TLSv1.3;
Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.
3. Para guardar el archivo, pulse esc, escriba :wq! y, luego, presione Intro.
4. Reinicie el servicio de Apache:
sudo systemctl restart nginx

Contenido relevante
- OFICIAL DE AWSActualizada hace 3 meses
- OFICIAL DE AWSActualizada hace un mes
- OFICIAL DE AWSActualizada hace 10 meses
- OFICIAL DE AWSActualizada hace 5 meses