Comment puis-je désactiver TLS 1.0 ou TLS 1.1 dans mon instance Lightsail ?

Brève description

Toutes les versions du protocole SSL/TLS antérieures à TLS 1.2 sont obsolètes et considérées comme non sécurisées. Ces versions TLS sont encore activées par défaut sur la plupart des serveurs Web. Vous pouvez désactiver ces protocoles en modifiant la directive SSLProtocol dans les fichiers de configuration du serveur Web. La résolution suivante couvre la désactivation de ces versions TLS obsolètes dans les instances Lightsail pour les serveurs Web Apache et NGINX.

Remarque : si vous utilisez l'équilibreur de charge Amazon Lightsail pour votre site Web, vous devez également désactiver TLS versions 1.0 et 1.1 dans l'équilibreur de charge. Toutefois, la désactivation des versions TLS dans l'équilibreur de charge Lightsail n'est actuellement pas prise en charge. Pour désactiver ces versions TLS et utiliser également l'équilibreur de charge Lightsail, utilisez une Application Load Balancer Amazon au lieu d'un équilibreur de charge Lightsail.

Solution

Remarque : les chemins d'accès mentionnés dans cet article peuvent changer en fonction des éléments suivants :

• L'instance possède une pile Bitnami et cette dernière utilise des packages système Linux natifs (approche A).
• L'instance possède une pile Bitnami et il s'agit d'une installation autonome (approche B).

Si vous utilisez une instance Lightsail avec une pile Bitnami, exécutez la commande suivante pour identifier votre type d'installation Bitnami :

test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."

Instances Lightsail avec une pile Bitnami

Service Web Apache

1.    Ouvrez le fichier de configuration :

Pile Bitnami suivant l'approche A

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

Pile Bitnami suivant l'approche B

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2.    Dans le fichier de configuration, modifiez la directive SSLProtocol pour qu'elle reflète la version TLS que vous souhaitez utiliser. Dans l'exemple suivant, la version TLS est 1.2 et 1.3 :

SSLProtocol +TLSv1.2 +TLSv1.3

Remarque : n'utilisez TLSv1.3 qu'en combinaison avec OpenSSL version 1.1.1 sur votre serveur. Vous pouvez vérifier la version en exécutant la commande openssl version.

3.    Enregistrez le fichier en appuyant sur Echap, tapez :wq! puis appuyez sur ENTRÉE.

4.    Redémarrez le service Apache :

sudo /opt/bitnami/ctlscript.sh restart apache

Service Web NGINX

1.    Ouvrez le fichier de configuration :

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2.    Dans le fichier de configuration, modifiez la directive SSLProtocol pour qu'elle reflète la version TLS que vous souhaitez utiliser. Dans l'exemple suivant, la version TLS est 1.2 et 1.3 :

ssl_protocols TLSv1.2 TLSv1.3;

Remarque : n'utilisez TLSv1.3 qu'en combinaison avec OpenSSL version 1.1.1 sur votre serveur. Vous pouvez vérifier la version en exécutant la commande openssl version.

3.    Enregistrez le fichier en appuyant sur Echap, tapez :wq! puis appuyez sur ENTRÉE.

4.    Redémarrez le service Apache :

sudo /opt/bitnami/ctlscript.sh restart nginx

Instances Lightsail sans pile Bitnami

Service Web Apache

1.    Ouvrez le fichier de configuration :
Pour les distributions Linux telles qu'Amazon Linux 2 et CentOS

sudo vi /etc/httpd/conf.d/ssl.conf

Pour les distributions Linux telles que Ubuntu et Debian

sudo vi /etc/apache2/mods-enabled/ssl.conf

2.    Dans le fichier de configuration, modifiez la directive SSLProtocol pour qu'elle reflète la version TLS que vous souhaitez utiliser. Dans l'exemple suivant, la version TLS est 1.2 et 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Remarque : n'utilisez TLSv1.3 qu'en combinaison avec OpenSSL version 1.1.1 sur votre serveur. Vous pouvez vérifier la version en exécutant la commande openssl version.

3.    Enregistrez le fichier en appuyant sur Echap, tapez :wq! puis appuyez sur ENTRÉE.

4.    Redémarrez le service Apache :

Pour les distributions Linux telles qu'Amazon Linux 2 et CentOS

sudo systemctl restart httpd

Pour les distributions Linux telles que Ubuntu et Debian

sudo systemctl restart apache2

Service Web NGINX

1.    Ouvrez le fichier de configuration :

sudo vi /etc/nginx/nginx.conf

2.    Dans le fichier de configuration, modifiez la directive SSLProtocol pour qu'elle reflète la version TLS que vous souhaitez utiliser. Dans l'exemple suivant, la version TLS est 1.2 et 1.3.

ssl_protocols TLSv1.2 TLSv1.3;

Remarque : n'utilisez TLSv1.3 qu'en combinaison avec OpenSSL version 1.1.1 sur votre serveur. Vous pouvez vérifier la version en exécutant la commande openssl version.

3.    Enregistrez le fichier en appuyant sur Echap, tapez :wq! puis appuyez sur ENTRÉE.

4.    Redémarrez le service Apache :

sudo systemctl restart nginx

---