¿Cómo se puede desactivar TLS 1.0 o TLS 1.1 en la instancia de Lightsail?

Actualización más reciente: 22-10-2021

¿Cómo se puede desactivar TLS 1.0 o TLS 1.1 en la instancia de Amazon Lightsail?

Descripción breve

Todas las versiones del protocolo SSL/TLS anteriores a TLS 1.2 están obsoletas y se consideran inseguras. La mayoría de los servidores web aún tienen estas versiones de TLS activadas de forma predeterminada. Puede desactivar estos protocolos si modifica la directiva SSLProtocol en los archivos de configuración del servidor web. La siguiente resolución contempla la desactivación de estas versiones obsoletas de TLS en las instancias de Lightsail para los servidores web Apache y NGINX.

Nota: Si utiliza el balanceador de carga de Amazon Lightsail para el sitio web, también debe desactivar la versión 1.0 y 1.1 de TLS en el balanceador de carga. Sin embargo, actualmente no se admite la desactivación de las versiones TLS en el balanceador de carga de Lightsail. Para desactivar estas versiones de TLS y utilizar también el balanceador de carga de Lightsail, utilice un balanceador de carga de aplicaciones de Amazon en lugar de un balanceador de carga de Lightsail.

Resolución

Nota: Las rutas de los archivos mencionados en este artículo pueden cambiar en función de los siguientes factores:

  • La instancia tiene una pila de Bitnami y la pila de Bitnami utiliza paquetes nativos del sistema Linux (enfoque A).
  • La instancia tiene una pila de Bitnami y es una instalación autónoma (enfoque B).

Si utiliza una instancia de Lightsail con una pila de Bitnami, ejecute el siguiente comando para identificar el tipo de instalación de Bitnami:

test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."

Instancias de Lightsail con una pila de Bitnami

Servicio web Apache

1.    Abra el archivo de configuración:

Pila de Bitnami bajo el enfoque A

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

Pila de Bitnami bajo el enfoque B

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2.    En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.

3.    Para guardar el archivo, pulse esc, escriba :wq! y, tras ello, presione Intro.

4.    Reinicie el servicio de Apache:

sudo /opt/bitnami/ctlscript.sh restart apache

Servicio web Nginx

1.    Abra el archivo de configuración:

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2.    En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.

ssl_protocol TLSv1.2 TLSv1.3;

Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.

3.    Para guardar el archivo, pulse esc, escriba :wq! y, tras ello, presione Intro.

4.    Reinicie el servicio de Apache:

sudo /opt/bitnami/ctlscript.sh restart nginx

Instancias de Lightsail sin pila de Bitnami

Servicio web Apache

1.    Abra el archivo de configuración:
Para distribuciones Linux, como Amazon Linux 2 y CentOS

sudo vi /etc/httpd/conf.d/ssl.conf

Para distribuciones Linux, como Ubuntu y Debian

sudo vi /etc/apache2/mods-enabled/ssl.conf

2.    En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.

3.    Para guardar el archivo, pulse esc, escriba :wq! y, tras ello, presione Intro.

4.    Reinicie el servicio de Apache:

Para distribuciones Linux, como Amazon Linux 2 y CentOS

sudo systemctl restart httpd

Para distribuciones Linux, como Ubuntu y Debian

sudo systemctl restart apache2

Servicio web NGINX

1.    Abra el archivo de configuración:

sudo vi /etc/nginx/nginx.conf

2.    En el archivo de configuración, modifique la directiva SSLProtocol para reflejar la versión de TLS que desea utilizar. En el siguiente ejemplo, la versión de TLS es 1.2 y 1.3.

ssl_protocol TLSv1.2 TLSv1.3;

Nota: Utilice TLSv1.3 únicamente si tiene la versión 1.1.1 de OpenSSL en el servidor. Para verificar la versión, ejecute el comando openssl version.

3.    Para guardar el archivo, pulse esc, escriba :wq! y, tras ello, presione Intro.

4.    Reinicie el servicio de Apache:

sudo systemctl restart nginx

¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?