Como posso desativar o TLS 1.0 ou o TLS 1.1 na minha instância do Lightsail?
Quero desativar o TLS 1.0 ou o TLS 1.1 na minha instância do Amazon Lightsail.
Breve descrição
Todas as versões do protocolo SSL/TLS anteriores ao TLS 1.2 não são mais atualizadas e são consideradas inseguras. A maioria dos servidores web ainda têm essas versões TLS ativadas por padrão. Modifique a diretiva SSLProtocol nos arquivos de configuração do servidor web para desativar esses protocolos. A resolução a seguir aborda como desativar essas versões não atualizadas do TLS nas instâncias do Lightsail para servidores web Apache e NGINX.
**Observação:**Se você usa o balanceador de carga Amazon Lightsail em seu site, também deve desativar o TLS versões 1.0 e 1.1 no balanceador de carga. No entanto, atualmente não há suporte para desativar as versões TLS no balanceador de carga do Lightsail. Para desativar essas versões do TLS e também usar o balanceador de carga do Lightsail, use um Amazon Application Load Balancer em vez de um balanceador de carga do Lightsail.
Solução
**Observação:**Os caminhos de arquivo mencionados neste artigo podem mudar com base no seguinte:
- A instância tem uma pilha Bitnami e a pilha Bitnami usa pacotes nativos do sistema Linux (Abordagem A).
- A instância tem uma pilha Bitnami e é uma instalação independente (abordagem B).
Se você usa uma instância do Lightsail com uma pilha Bitnami, execute o seguinte comando para identificar seu tipo de instalação do Bitnami:
Instâncias do Lightsail com uma pilha Bitnami
Serviço web Apache
1.Abra o arquivo de configuração:
Pilha Bitnami na Abordagem A
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf
Pilha Bitnami na Abordagem B
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf
2.No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão TLS que você deseja usar: No exemplo a seguir, a versão do TLS é 1.2 e 1.3:
SSLProtocol +TLSv1.2 +TLSv1.3
**Observação:**Use o TLSv1.3 somente se você tiver o OpenSSL versão 1.1.1 em seu servidor. Verifique a versão executando o comando openssl version.
3.Salve o arquivo. Pressione esc, digite **:wq!**e em seguida, pressione ENTER.
4.Reinicie o serviço do Apache:
sudo /opt/bitnami/ctlscript.sh restart apache
serviço web NGINX
1.Abra o arquivo de configuração:
sudo vi /opt/bitnami/nginx/conf/nginx.conf
2.No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão TLS que você deseja usar: No exemplo a seguir, a versão do TLS é 1.2 e 1.3:
ssl_protocols TLSv1.2 TLSv1.3;
**Observação:**Use o TLSv1.3 somente se você tiver o OpenSSL versão 1.1.1 em seu servidor. Verifique a versão com o comando openssl version.
3.Salve o arquivo. Pressione esc, digite **:wq!**e em seguida, pressione ENTER.
4.Reinicie o serviço do Apache:
sudo /opt/bitnami/ctlscript.sh restart nginx
Instâncias do Lightsail sem uma pilha Bitnami
Serviço web Apache
1.Abra o arquivo de configuração:
Para distribuições Linux, como Amazon Linux 2 e CentOS
sudo vi /etc/httpd/conf.d/ssl.conf
Para distribuições Linux como Ubuntu e Debian
sudo vi /etc/apache2/mods-enabled/ssl.conf
2.No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão TLS que você deseja usar: No exemplo a seguir, a versão do TLS é 1.2 e 1.3.
SSLProtocol +TLSv1.2 +TLSv1.3
**Observação:**Use o TLSv1.3 somente se você tiver o OpenSSL versão 1.1.1 em seu servidor. Verifique a versão com o comando openssl version.
3.Salve o arquivo. Pressione esc, digite **:wq!**e em seguida, pressione ENTER.
4.Reinicie o serviço do Apache:
Para distribuições Linux, como Amazon Linux 2 e CentOS
sudo systemctl restart httpd
Para distribuições Linux como Ubuntu e Debian
sudo systemctl restart apache2
serviço web NGINX
1.Abra o arquivo de configuração:
sudo vi /etc/nginx/nginx.conf
2.No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão TLS que você deseja usar: No exemplo a seguir, a versão do TLS é 1.2 e 1.3.
ssl_protocols TLSv1.2 TLSv1.3;
**Observação:**Use o TLSv1.3 somente se você tiver o OpenSSL versão 1.1.1 em seu servidor. Verifique a versão com o comando openssl version.
3.Salve o arquivo. Pressione esc, digite **:wq!**e em seguida, pressione ENTER.
4.Reinicie o serviço do Apache:
sudo systemctl restart nginx
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos
- Como instalar um certificado SSL/TLS na minha instância Windows do EC2 executando o servidor do IIS?AWS OFICIALAtualizada há 2 anos