Como posso desativar o TLS 1.0 ou o TLS 1.1 na minha instância do Lightsail?

4 minuto de leitura
0

Quero desativar o TLS 1.0 ou o TLS 1.1 na minha instância do Amazon Lightsail.

Breve descrição

Todas as versões do protocolo SSL/TLS anteriores ao TLS 1.2 não são mais atualizadas e são consideradas inseguras. A maioria dos servidores web ainda têm essas versões TLS ativadas por padrão. Modifique a diretiva SSLProtocol nos arquivos de configuração do servidor web para desativar esses protocolos. A resolução a seguir aborda como desativar essas versões não atualizadas do TLS nas instâncias do Lightsail para servidores web Apache e NGINX.

**Observação:**Se você usa o balanceador de carga Amazon Lightsail em seu site, também deve desativar o TLS versões 1.0 e 1.1 no balanceador de carga. No entanto, atualmente não há suporte para desativar as versões TLS no balanceador de carga do Lightsail. Para desativar essas versões do TLS e também usar o balanceador de carga do Lightsail, use um Amazon Application Load Balancer em vez de um balanceador de carga do Lightsail.

Solução

**Observação:**Os caminhos de arquivo mencionados neste artigo podem mudar com base no seguinte:

  • A instância tem uma pilha Bitnami e a pilha Bitnami usa pacotes nativos do sistema Linux (Abordagem A).
  • A instância tem uma pilha Bitnami e é uma instalação independente (abordagem B).

Se você usa uma instância do Lightsail com uma pilha Bitnami, execute o seguinte comando para identificar seu tipo de instalação do Bitnami:

Instâncias do Lightsail com uma pilha Bitnami

Serviço web Apache

1.Abra o arquivo de configuração:

Pilha Bitnami na Abordagem A

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

Pilha Bitnami na Abordagem B

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2.No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão TLS que você deseja usar: No exemplo a seguir, a versão do TLS é 1.2 e 1.3:

SSLProtocol +TLSv1.2 +TLSv1.3

**Observação:**Use o TLSv1.3 somente se você tiver o OpenSSL versão 1.1.1 em seu servidor. Verifique a versão executando o comando openssl version.

3.Salve o arquivo. Pressione esc, digite **:wq!**e em seguida, pressione ENTER.

4.Reinicie o serviço do Apache:

sudo /opt/bitnami/ctlscript.sh restart apache

serviço web NGINX

1.Abra o arquivo de configuração:

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2.No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão TLS que você deseja usar: No exemplo a seguir, a versão do TLS é 1.2 e 1.3:

ssl_protocols TLSv1.2 TLSv1.3;

**Observação:**Use o TLSv1.3 somente se você tiver o OpenSSL versão 1.1.1 em seu servidor. Verifique a versão com o comando openssl version.

3.Salve o arquivo. Pressione esc, digite **:wq!**e em seguida, pressione ENTER.

4.Reinicie o serviço do Apache:

sudo /opt/bitnami/ctlscript.sh restart nginx

Instâncias do Lightsail sem uma pilha Bitnami

Serviço web Apache

1.Abra o arquivo de configuração:
Para distribuições Linux, como Amazon Linux 2 e CentOS

sudo vi /etc/httpd/conf.d/ssl.conf

Para distribuições Linux como Ubuntu e Debian

sudo vi /etc/apache2/mods-enabled/ssl.conf

2.No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão TLS que você deseja usar: No exemplo a seguir, a versão do TLS é 1.2 e 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

**Observação:**Use o TLSv1.3 somente se você tiver o OpenSSL versão 1.1.1 em seu servidor. Verifique a versão com o comando openssl version.

3.Salve o arquivo. Pressione esc, digite **:wq!**e em seguida, pressione ENTER.

4.Reinicie o serviço do Apache:

Para distribuições Linux, como Amazon Linux 2 e CentOS

sudo systemctl restart httpd

Para distribuições Linux como Ubuntu e Debian

sudo systemctl restart apache2

serviço web NGINX

1.Abra o arquivo de configuração:

sudo vi /etc/nginx/nginx.conf

2.No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão TLS que você deseja usar: No exemplo a seguir, a versão do TLS é 1.2 e 1.3.

ssl_protocols TLSv1.2 TLSv1.3;

**Observação:**Use o TLSv1.3 somente se você tiver o OpenSSL versão 1.1.1 em seu servidor. Verifique a versão com o comando openssl version.

3.Salve o arquivo. Pressione esc, digite **:wq!**e em seguida, pressione ENTER.

4.Reinicie o serviço do Apache:

sudo systemctl restart nginx
AWS OFICIAL
AWS OFICIALAtualizada há 9 meses