Come faccio a disattivare TLS 1.0 o TLS 1.1 nella mia istanza Lightsail?

Ultimo aggiornamento: 22/10/2021

Come faccio a disattivare TLS 1.0 o TLS 1.1 nella mia istanza Amazon Lightsail?

Breve descrizione

Tutte le versioni del protocollo SSL/TLS precedenti a TLS 1.2 sono obsolete e considerate non sicure. La maggior parte dei server Web ha ancora queste versioni TLS abilitate per impostazione predefinita. Puoi disattivare questi protocolli modificando la direttiva SSLProtocol nei file di configurazione del server Web. La seguente risoluzione riguarda la disattivazione di queste versioni TLS obsolete nelle istanze Lightsail per i server Web Apache e NGINX.

Nota: se utilizzi il bilanciatore del carico di Amazon Lightsail per il tuo sito Web, devi anche disabilitare le versioni di TLS 1.0 e 1.1 nel bilanciatore del carico. Tuttavia, la disabilitazione delle versioni di TLS nel bilanciatore del carico di Lightsail non è attualmente supportata. Per disabilitare queste versioni di TLS e utilizzare anche il bilanciatore del carico Lightsail, usa Amazon Application Load Balancer invece di un bilanciatore del carico Lightsail.

Risoluzione

Nota: i percorsi dei file menzionati in questo articolo possono cambiare in base a quanto segue:

  • L'istanza ha uno stack Bitnami e lo stack Bitnami utilizza pacchetti del sistema Linux nativi (approccio A).
  • L'istanza ha uno stack Bitnami ed è un'installazione autonoma (approccio B).

Se stai utilizzando un'istanza Lightsail con uno stack Bitnami, esegui il comando seguente per identificare il tipo di installazione Bitnami:

test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."

Istanze Lightsail con uno stack Bitnami

Servizio web Apache

1.    Apri il file di configurazione:

Stack Bitnami nell'approccio A

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

Stack Bitnami nell'approccio B

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2.    Nel file di configurazione, modifica la direttiva SSLProtocol in modo che rifletta la versione di TLS che desideri utilizzare. Nell'esempio seguente, la versione di TLS è 1.2 e 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Nota: usa TLSv1.3 solo se hai OpenSSL nella versione 1.1.1 nel tuo server. Puoi verificare la versione eseguendo il comando openssl version.

3.    Salva il file premendo esc, digita :wq!, quindi premi INVIO.

4.    Riavvia il servizio Apache:

sudo /opt/bitnami/ctlscript.sh restart apache

Servizio Web Nginx

1.    Apri il file di configurazione:

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2.    Nel file di configurazione, modifica la direttiva SSLProtocol in modo che rifletta la versione di TLS che desideri utilizzare. Nell'esempio seguente, la versione di TLS è 1.2 e 1.3.

ssl_protocol TLSv1.2 TLSv1.3;

Nota: usa TLSv1.3 solo se hai OpenSSL nella versione 1.1.1 nel tuo server. Puoi verificare la versione eseguendo il comando openssl version.

3.    Salva il file premendo esc, digita :wq!, quindi premi INVIO.

4.    Riavvia il servizio Apache:

sudo /opt/bitnami/ctlscript.sh restart nginx

Istanze Lightsail senza stack Bitnami

Servizio Web Apache

1.    Apri il file di configurazione:
Per le distribuzioni Linux come Amazon Linux 2 e CentOS

sudo vi /etc/httpd/conf.d/ssl.conf

Per le distribuzioni Linux come Ubuntu e Debian

sudo vi /etc/apache2/mods-enabled/ssl.conf

2.    Nel file di configurazione, modifica la direttiva SSLProtocol in modo che rifletta la versione di TLS che desideri utilizzare. Nell'esempio seguente, la versione di TLS è 1.2 e 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Nota: usa TLSv1.3 solo se hai OpenSSL nella versione 1.1.1 nel tuo server. Puoi verificare la versione eseguendo il comando openssl version.

3.    Salva il file premendo esc, digita :wq!, quindi premi INVIO.

4.    Riavvia il servizio Apache:

Per le distribuzioni Linux come Amazon Linux 2 e CentOS

sudo systemctl restart httpd

Per le distribuzioni Linux come Ubuntu e Debian

sudo systemctl restart apache2

Servizio Web NGINX

1.    Apri il file di configurazione:

sudo vi /etc/nginx/nginx.conf

2.    Nel file di configurazione, modifica la direttiva SSLProtocol in modo che rifletta la versione di TLS che desideri utilizzare. Nell'esempio seguente, la versione di TLS è 1.2 e 1.3.

ssl_protocol TLSv1.2 TLSv1.3;

Nota: usa TLSv1.3 solo se hai OpenSSL nella versione 1.1.1 nel tuo server. Puoi verificare la versione eseguendo il comando openssl version.

3.    Salva il file premendo esc, digita :wq!, quindi premi INVIO.

4.    Riavvia il servizio Apache:

sudo systemctl restart nginx

Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?