Como desativo o TLS 1.0 ou TLS 1.1 em minha instância do Lightsail?
Como desativo o TLS 1.0 ou TLS 1.1 em minha instância do Amazon Lightsail?
Breve descrição
Todas as versões do protocolo SSL/TLS anteriores ao TLS 1.2 não são mais atualizadas e são consideradas inseguras. A maioria dos servidores web ainda tem essas versões do TLS ativadas por padrão. Você pode desativar esses protocolos modificando a diretiva SSLProtocol nos arquivos de configuração do servidor Web. A resolução a seguir abrange a desativação dessas versões de TLS não atualizadas em instâncias do Lightsail para servidores web Apache e NGINX.
Observação: se você estiver usando o balanceador de carga do Amazon Lightsail para seu site, também deverá desativar o TLS versão 1.0 e 1.1 no balanceador de carga. No entanto, a desativação das versões do TLS no balanceador de carga do Lightsail não é suportada atualmente. Para desativar essas versões do TLS e também usar o balanceador de carga do Lightsail, use um Amazon Application Load Balancer em vez de um balanceador de carga do Lightsail.
Resolução
Observação: os caminhos de arquivo mencionados neste artigo podem mudar dependendo do seguinte:
- A instância tem uma pilha Bitnami e a pilha Bitnami usa pacotes nativos do sistema Linux (abordagem A).
- A instância tem uma pilha Bitnami e é uma instalação autônoma (abordagem B).
Se estiver usando uma instância do Lightsail com uma pilha Bitnami, execute o seguinte comando para identificar o tipo de sua instalação do Bitnami:
test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."
Instâncias do Lightsail com uma pilha Bitnami
Serviço da Web Apache
1. Abra o arquivo de configuração:
Pilha Bitnami na abordagem A
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf
Pilha Bitnami na abordagem B
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf
2. No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão do TLS que deseja usar. No exemplo a seguir, a versão do TLS é 1.2 e 1.3:
SSLProtocol +TLSv1.2 +TLSv1.3
Observação: só use o TLS v1.3 se tiver o OpenSSL versão 1.1.1 em seu servidor. Você pode verificar a versão executando o comando openssl version.
3. Salve o arquivo pressionando esc, digite :wq! e pressione ENTER.
4. Reinicie o serviço Apache:
sudo /opt/bitnami/ctlscript.sh restart apache
Serviço da Web NGINX
1. Abra o arquivo de configuração:
sudo vi /opt/bitnami/nginx/conf/nginx.conf
2. No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão do TLS que deseja usar. No exemplo a seguir, a versão do TLS é 1.2 e 1.3:
ssl_protocols TLSv1.2 TLSv1.3;
Observação: só use o TLS v1.3 se tiver o OpenSSL versão 1.1.1 em seu servidor. Você pode verificar a versão executando o comando openssl version.
3. Salve o arquivo pressionando esc, digite :wq! e pressione ENTER.
4. Reinicie o serviço Apache:
sudo /opt/bitnami/ctlscript.sh restart nginx
Instâncias do Lightsail sem uma pilha Bitnami
Serviço da Web Apache
1. Abra o arquivo de configuração:
Para distribuições Linux, como Amazon Linux 2 e CentOS
sudo vi /etc/httpd/conf.d/ssl.conf
Para distribuições Linux, como Ubuntu e Debian
sudo vi /etc/apache2/mods-enabled/ssl.conf
2. No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão do TLS que deseja usar. No exemplo a seguir, a versão do TLS é 1.2 e 1.3.
SSLProtocol +TLSv1.2 +TLSv1.3
Observação: só use o TLS v1.3 se tiver o OpenSSL versão 1.1.1 em seu servidor. Você pode verificar a versão executando o comando openssl version.
3. Salve o arquivo pressionando esc, digite :wq! e pressione ENTER.
4. Reinicie o serviço Apache:
Para distribuições Linux, como Amazon Linux 2 e CentOS
sudo systemctl restart httpd
Para distribuições Linux, como Ubuntu e Debian
sudo systemctl restart apache2
Serviço da Web NGINX
1. Abra o arquivo de configuração:
sudo vi /etc/nginx/nginx.conf
2. No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão do TLS que deseja usar. No exemplo a seguir, a versão do TLS é 1.2 e 1.3.
ssl_protocols TLSv1.2 TLSv1.3;
Observação: só use o TLS v1.3 se tiver o OpenSSL versão 1.1.1 em seu servidor. Você pode verificar a versão executando o comando openssl version.
3. Salve o arquivo pressionando esc, digite :wq! e pressione ENTER.
4. Reinicie o serviço Apache:
sudo systemctl restart nginx
Conteúdo relevante
- AWS OFICIALAtualizada há 8 meses
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há um ano