Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Wie kann ich TLS 1.0 oder TLS 1.1 in meiner Lightsail-Instance deaktivieren?

Lesedauer: 4 Minute
0

Ich möchte TLS 1.0 oder TLS 1.1 in meiner Amazon-Lightsail-Instance deaktivieren.

Kurzbeschreibung

Alle Versionen des SSL/TLS-Protokolls vor TLS 1.2 werden nicht mehr aktualisiert und gelten als unsicher. Bei den meisten Webservern sind diese TLS-Versionen immer noch standardmäßig aktiviert. Ändern Sie die Direktive SSLProtocol in den Webserver-Konfigurationsdateien, um diese Protokolle auszuschalten. Die folgende Lösung beschreibt, wie Sie diese nicht aktualisierten TLS-Versionen in Lightsail-Instances für Apache- und NGINX-Webserver deaktivieren.

Hinweis: Wenn Sie Amazon Lightsail Load Balancer für Ihre Website verwenden, müssen Sie auch die TLS-Versionen 1.0 und 1.1 im Load Balancer deaktivieren. Das Ausschalten von TLS-Versionen im Lightsail Load Balancer wird derzeit jedoch nicht unterstützt. Um diese TLS-Versionen auszuschalten und auch den Lightsail Load Balancer zu verwenden, verwenden Sie einen Amazon Application Load Balancer anstelle eines Lightsail Load Balancers.

Behebung

Hinweis: Die in diesem Artikel genannten Dateipfade können sich aufgrund der folgenden Faktoren ändern:

  • Die Instance hat einen Bitnami-Stack und der Bitnami-Stack verwendet native Linux-Systempakete (Ansatz A).
  • Die Instance hat einen Bitnami-Stack und ist eine eigenständige Installation (Ansatz B).

Wenn Sie eine Lightsail-Instance mit einem Bitnami-Stack verwenden, führen Sie den folgenden Befehl aus, um Ihren Bitnami-Installationstyp zu identifizieren:

Lightsail-Instances mit einem Bitnami-Stack

**Apache Webdienst **

1.    Öffnen Sie die Konfigurationsdatei:

Bitnami-Stack unter Ansatz A

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

Bitnami-Stack unter Ansatz B

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2.    Ändern Sie in der Konfigurationsdatei die Direktive SSLProtocol, um die TLS-Version widerzuspiegeln, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3:

SSLProtocol +TLSv1.2 +TLSv1.3

Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Überprüfen Sie die Version, indem Sie den Befehl openssl version ausführen.

3.    Speichern Sie die Datei. Drücken Sie esc, geben Sie :wq! ein und drücken Sie dann ENTER.

4.    Starten Sie den Apache-Dienst neu:

sudo /opt/bitnami/ctlscript.sh restart apache

NGINX-Webdienst

1.    Öffnen Sie die Konfigurationsdatei:

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2.    Ändern Sie in der Konfigurationsdatei die Direktive SSLProtocol, um die TLS-Version widerzuspiegeln, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3:

ssl_protocols TLSv1.2 TLSv1.3;

Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Überprüfen Sie die Version mit dem Befehl openssl version.

3.    Speichern Sie die Datei. Drücken Sie esc, geben Sie :wq! ein und drücken Sie dann ENTER.

4.    Starten Sie den Apache-Dienst neu:

sudo /opt/bitnami/ctlscript.sh restart nginx

Lightsail-Instances ohne Bitnami-Stack

**Apache Webdienst **

1.    Öffnen Sie die Konfigurationsdatei:
Für Linux-Distributionen wie Amazon Linux 2 und CentOS

sudo vi /etc/httpd/conf.d/ssl.conf

Für Linux-Distributionen wie Ubuntu und Debian

sudo vi /etc/apache2/mods-enabled/ssl.conf

2.    Ändern Sie in der Konfigurationsdatei die Direktive SSLProtocol, um die TLS-Version widerzuspiegeln, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Überprüfen Sie die Version mit dem Befehl openssl version.

3.    Speichern Sie die Datei. Drücken Sie esc, geben Sie :wq! ein und drücken Sie dann ENTER.

4.    Starten Sie den Apache-Dienst neu:

Für Linux-Distributionen wie Amazon Linux 2 und CentOS

sudo systemctl restart httpd

Für Linux-Distributionen wie Ubuntu und Debian

sudo systemctl restart apache2

NGINX-Webdienst

1.    Öffnen Sie die Konfigurationsdatei:

sudo vi /etc/nginx/nginx.conf

2.    Ändern Sie in der Konfigurationsdatei die Direktive SSLProtocol, um die TLS-Version widerzuspiegeln, die Sie verwenden möchten. Im folgenden Beispiel ist die TLS-Version 1.2 und 1.3.

ssl_protocols TLSv1.2 TLSv1.3;

Hinweis: Verwenden Sie TLSv1.3 nur, wenn Sie OpenSSL Version 1.1.1 auf Ihrem Server haben. Überprüfen Sie die Version mit dem Befehl openssl version.

3.    Speichern Sie die Datei. Drücken Sie esc, geben Sie :wq! ein und drücken Sie dann ENTER.

4.    Starten Sie den Apache-Dienst neu:

sudo systemctl restart nginx
AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr