Wie kann ich TLS 1.0 oder TLS 1.1 in meiner Lightsail-Instance deaktivieren?
Ich möchte TLS 1.0 oder TLS 1.1 in meiner Amazon-Lightsail-Instance deaktivieren.
Kurzbeschreibung
Alle Versionen des SSL/TLS-Protokolls vor TLS 1.2 werden nicht mehr aktualisiert und gelten als unsicher. Bei den meisten Webservern sind diese TLS-Versionen immer noch standardmäßig aktiviert. Ändern Sie die Direktive SSLProtocol in den Webserver-Konfigurationsdateien, um diese Protokolle auszuschalten. Die folgende Lösung beschreibt, wie Sie diese nicht aktualisierten TLS-Versionen in Lightsail-Instances für Apache- und NGINX-Webserver deaktivieren.
Hinweis: Wenn Sie Amazon Lightsail Load Balancer für Ihre Website verwenden, müssen Sie auch die TLS-Versionen 1.0 und 1.1 im Load Balancer deaktivieren. Das Ausschalten von TLS-Versionen im Lightsail Load Balancer wird derzeit jedoch nicht unterstützt. Um diese TLS-Versionen auszuschalten und auch den Lightsail Load Balancer zu verwenden, verwenden Sie einen Amazon Application Load Balancer anstelle eines Lightsail Load Balancers.
Behebung
Hinweis: Die in diesem Artikel genannten Dateipfade können sich aufgrund der folgenden Faktoren ändern:
- Die Instance hat einen Bitnami-Stack und der Bitnami-Stack verwendet native Linux-Systempakete (Ansatz A).
- Die Instance hat einen Bitnami-Stack und ist eine eigenständige Installation (Ansatz B).
Wenn Sie eine Lightsail-Instance mit einem Bitnami-Stack verwenden, führen Sie den folgenden Befehl aus, um Ihren Bitnami-Installationstyp zu identifizieren:
Lightsail-Instances mit einem Bitnami-Stack
**Apache Webdienst **
1. Öffnen Sie die Konfigurationsdatei:
Bitnami-Stack unter Ansatz A
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf
Bitnami-Stack unter Ansatz B
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf
2. Ändern Sie in der Konfigurationsdatei die Direktive SSLProtocol, um die TLS-Version widerzuspiegeln, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3:
SSLProtocol +TLSv1.2 +TLSv1.3
Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Überprüfen Sie die Version, indem Sie den Befehl openssl version ausführen.
3. Speichern Sie die Datei. Drücken Sie esc, geben Sie :wq! ein und drücken Sie dann ENTER.
4. Starten Sie den Apache-Dienst neu:
sudo /opt/bitnami/ctlscript.sh restart apache
NGINX-Webdienst
1. Öffnen Sie die Konfigurationsdatei:
sudo vi /opt/bitnami/nginx/conf/nginx.conf
2. Ändern Sie in der Konfigurationsdatei die Direktive SSLProtocol, um die TLS-Version widerzuspiegeln, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3:
ssl_protocols TLSv1.2 TLSv1.3;
Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Überprüfen Sie die Version mit dem Befehl openssl version.
3. Speichern Sie die Datei. Drücken Sie esc, geben Sie :wq! ein und drücken Sie dann ENTER.
4. Starten Sie den Apache-Dienst neu:
sudo /opt/bitnami/ctlscript.sh restart nginx
Lightsail-Instances ohne Bitnami-Stack
**Apache Webdienst **
1. Öffnen Sie die Konfigurationsdatei:
Für Linux-Distributionen wie Amazon Linux 2 und CentOS
sudo vi /etc/httpd/conf.d/ssl.conf
Für Linux-Distributionen wie Ubuntu und Debian
sudo vi /etc/apache2/mods-enabled/ssl.conf
2. Ändern Sie in der Konfigurationsdatei die Direktive SSLProtocol, um die TLS-Version widerzuspiegeln, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3.
SSLProtocol +TLSv1.2 +TLSv1.3
Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Überprüfen Sie die Version mit dem Befehl openssl version.
3. Speichern Sie die Datei. Drücken Sie esc, geben Sie :wq! ein und drücken Sie dann ENTER.
4. Starten Sie den Apache-Dienst neu:
Für Linux-Distributionen wie Amazon Linux 2 und CentOS
sudo systemctl restart httpd
Für Linux-Distributionen wie Ubuntu und Debian
sudo systemctl restart apache2
NGINX-Webdienst
1. Öffnen Sie die Konfigurationsdatei:
sudo vi /etc/nginx/nginx.conf
2. Ändern Sie in der Konfigurationsdatei die Direktive SSLProtocol, um die TLS-Version widerzuspiegeln, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3.
ssl_protocols TLSv1.2 TLSv1.3;
Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Überprüfen Sie die Version mit dem Befehl openssl version.
3. Speichern Sie die Datei. Drücken Sie esc, geben Sie :wq! ein und drücken Sie dann ENTER.
4. Starten Sie den Apache-Dienst neu:
sudo systemctl restart nginx
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 6 Monaten
- AWS OFFICIALAktualisiert vor einem Jahr
- Wie erlaube ich Kunden, die TLS 1.2 oder höher nicht verwenden, Zugriff auf meine Amazon S3-Buckets?AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Monaten