學習工作 工作

apache2 搭配 letsencrypt certbot 關閉 TLS 1.0 與 TLS 1.1

因為安全性問題的關係,所以許多瀏覽器已經開始不支援 TLS 1.0 與 TLS 1.1,詳細資訊在這邊可以看到。

而使用 certbot 安裝 letsencrypt 發的 ssl 憑證,透過https://www.ssllabs.com/檢查的時候都會因為偵測到系統還支援這兩個版本TLS,所以評分會被打成B。

tls1.0 tls1.1 letsencrypt certbot

可是開 apache2 的ssl設定 (ubuntu 18.04 的話在 /etc/apache2/mods-enable/ssl.conf) 就算把 SSLProtocol 關掉 TLSv1 TLSv1.1,在透過ssllabs 檢查還是一樣。原因是出在 site config 裏頭其實都加上了

Include /etc/letsencrypt/options-ssl-apache.conf

所以真正要改的是 /etc/letsencrypt/options-ssl-apache.conf,在 SSLProtocol 那行關掉TLSv1 TLSv1.1 就可以了。

SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

letsencrypt conf disalbe tls1 tls1.1

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料