Amazon Lightsail インスタンスで TLS 1.0または TLS 1.1をオフにしようと思います。
簡単な説明
SSL/TLS プロトコルの TLS 1.2 より前のバージョンはいずれも更新されなくなり、安全ではないとされています。ほとんどのウェブサーバーでは、こうした TLS バージョンが依然としてデフォルトでオンになっています。ウェブサーバー設定ファイルの SSLProtocol ディレクティブを変更して、当該プロトコルをオフにします。後述の解決方法で、Apache ウェブサーバーや NGINX ウェブサーバーの Lightsail インスタンスで更新されていない TLS バージョンをオフにする方法を説明します。
**注:**Amazon Lightsail ロードバランサーをウェブサイトで使用している場合は、ロードバランサーの TLS バージョン1.0と1.1もオフにする必要があります。ただし、Lightsail ロードバランサーの TLS バージョンをオフにすることは現在サポートされていません。こうした TLS バージョンをオフにしても Lightsail ロードバランサーを使用するには、Lightsail ロードバランサーの代わりに Amazon Application Load Balancer を使用してください。
解決方法
**注:**この記事で言及しているファイルパスは、次のことに基づいて変更されることがあります。
- インスタンスには Bitnami スタックがあり、Bitnami スタックではネイティブの Linux システムパッケージを使用する (アプローチ A)。
- インスタンスには Bitnami スタックがあり、自己完結型インストールとなる (アプローチ B)。
Lightsail インスタンスを Bitnami スタックで 使用する場合は、次のコマンドを実行して Bitnami インストールタイプを特定します。
Bitnami スタックのある Lightsail インスタンス
Apache ウェブサービス
1. 次の設定ファイルを開きます。
アプローチ A の Bitnami スタック
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf
アプローチ B の Bitnami スタック
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf
2. 設定ファイルで、使用する TLS バージョンが反映されるよう SSLProtocol ディレクティブを変更します。次の例では、TLS バージョンは1.2と1.3です。
SSLProtocol +TLSv1.2 +TLSv1.3
**注:**TLSv1.3を使用するのは、OpenSSL バージョン 1.1.1 がサーバーにインストールされている場合のみです。バージョンは openssl version コマンドを実行して確認してください。
3. ファイルを保存します。Esc を押し、「wq!」と入力してから Enter キーを押します。
4. Apache サービスを再起動します。
sudo /opt/bitnami/ctlscript.sh restart apache
NGINX ウェブサービス
1. 次の設定ファイルを開きます。
sudo vi /opt/bitnami/nginx/conf/nginx.conf
2. 設定ファイルで、使用する TLS バージョンが反映されるよう SSLProtocol ディレクティブを変更します。次の例では、TLS バージョンは1.2と1.3です。
ssl_protocols TLSv1.2 TLSv1.3;
**注:**TLSv1.3を使用するのは、OpenSSL バージョン 1.1.1 がサーバーにインストールされている場合のみです。バージョンは openssl version コマンドで確認してください。
3. ファイルを保存します。Esc を押し、「wq!」と入力してから Enter キーを押します。
4. Apache サービスを再起動します。
sudo /opt/bitnami/ctlscript.sh restart nginx
Bitnami スタックのない Lightsail インスタンス
Apache ウェブサービス
1. 次の設定ファイルを開きます。
Amazon Linux 2 や CentOS などの Linux ディストリビューションの場合
sudo vi /etc/httpd/conf.d/ssl.conf
Ubuntu や Debian などの Linux ディストリビューションの場合
sudo vi /etc/apache2/mods-enabled/ssl.conf
2. 設定ファイルで、使用する TLS バージョンが反映されるよう SSLProtocol ディレクティブを変更します。次の例では、TLS バージョンは1.2と1.3です。
SSLProtocol +TLSv1.2 +TLSv1.3
**注:**TLSv1.3を使用するのは、OpenSSL バージョン 1.1.1 がサーバーにインストールされている場合のみです。バージョンは openssl version コマンドで確認してください。
3. ファイルを保存します。Esc を押し、「wq!」と入力してから Enter キーを押します。
4. Apache サービスを再起動します。
Amazon Linux 2 や CentOS などの Linux ディストリビューションの場合
sudo systemctl restart httpd
Ubuntu や Debian などの Linux ディストリビューションの場合
sudo systemctl restart apache2
NGINX ウェブサービス
1. 次の設定ファイルを開きます。
sudo vi /etc/nginx/nginx.conf
2. 設定ファイルで、使用する TLS バージョンが反映されるよう SSLProtocol ディレクティブを変更します。次の例では、TLS バージョンは1.2と1.3です。
ssl_protocols TLSv1.2 TLSv1.3;
**注:**TLSv1.3を使用するのは、OpenSSL バージョン 1.1.1 がサーバーにインストールされている場合のみです。バージョンは openssl version コマンドで確認してください。
3. ファイルを保存します。Esc を押し、「wq!」と入力してから Enter キーを押します。
4. Apache サービスを再起動します。
sudo systemctl restart nginx