Come faccio a disattivare TLS 1.0 o TLS 1.1 nella mia istanza Lightsail?

Ultimo aggiornamento: 15/12/2022

Come faccio a disattivare TLS 1.0 o TLS 1.1 nella mia istanza Amazon Lightsail?

Breve descrizione

Tutte le versioni del protocollo SSL/TLS precedenti a TLS 1.2 non vengono più aggiornate e sono considerate non sicure. La maggior parte dei server web ha ancora queste versioni TLS attivate di default. Puoi disattivare questi protocolli modificando la direttiva SSLProtocol nei file di configurazione del server web. La seguente risoluzione riguarda la disattivazione delle versioni TLS non aggiornate nelle istanze Lightsail per i server web Apache e NGINX.

Nota: se utilizzi il sistema di bilanciamento del carico di Amazon Lightsail per il tuo sito web, devi anche disattivare le versioni di TLS 1.0 e 1.1 nel sistema di bilanciamento del carico. Tuttavia, la disattivazione delle versioni TLS nel sistema di bilanciamento del carico Lightsail non è attualmente supportata. Per disattivare queste versioni di TLS in modo da utilizzare anche il sistema di bilanciamento del carico Lightsail, utilizza Amazon Application Load Balancer anziché il sistema di bilanciamento del carico Lightsail.

Risoluzione

Nota: i percorsi dei file menzionati in questo articolo possono cambiare in base a quanto segue:

  • L'istanza ha uno stack Bitnami e lo stack Bitnami utilizza pacchetti del sistema Linux nativi (approccio A).
  • L'istanza ha uno stack Bitnami ed è un'installazione autonoma (approccio B).

Se stai utilizzando un'istanza Lightsail con uno stack Bitnami, esegui il comando seguente per identificare il tipo di installazione Bitnami:

test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."

Istanze Lightsail con uno stack Bitnami

Servizio web Apache

1.    Apri il file di configurazione:

Stack Bitnami nell'approccio A

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

Stack Bitnami nell'approccio B

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2.    Nel file di configurazione, modifica la direttiva SSLProtocol in modo che rifletta la versione di TLS che desideri utilizzare. Nell'esempio seguente le versioni di TLS sono 1.2 e 1.3:

SSLProtocol +TLSv1.2 +TLSv1.3

Nota: usa TLSv1.3 solo se hai OpenSSL nella versione 1.1.1 nel tuo server. Puoi verificare la versione eseguendo il comando openssl version.

3.    Salva il file premendo esc, poi digita :wq!, quindi premi INVIO.

4.    Riavvia il servizio Apache:

sudo /opt/bitnami/ctlscript.sh restart apache

Servizio web NGINX

1.    Apri il file di configurazione:

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2.    Nel file di configurazione, modifica la direttiva SSLProtocol in modo che rifletta la versione di TLS che desideri utilizzare. Nell'esempio seguente le versioni di TLS sono 1.2 e 1.3:

ssl_protocols TLSv1.2 TLSv1.3;

Nota: usa TLSv1.3 solo se hai OpenSSL nella versione 1.1.1 nel tuo server. Puoi verificare la versione eseguendo il comando openssl version.

3.    Salva il file premendo esc, poi digita :wq!, quindi premi INVIO.

4.    Riavvia il servizio Apache:

sudo /opt/bitnami/ctlscript.sh restart nginx

Istanze Lightsail senza stack Bitnami

Servizio web Apache

1.    Apri il file di configurazione:
Per le distribuzioni Linux come Amazon Linux 2 e CentOS

sudo vi /etc/httpd/conf.d/ssl.conf

Per le distribuzioni Linux come Ubuntu e Debian

sudo vi /etc/apache2/mods-enabled/ssl.conf

2.    Nel file di configurazione, modifica la direttiva SSLProtocol in modo che rifletta la versione di TLS che desideri utilizzare. Nell'esempio seguente, la versione di TLS è 1.2 e 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Nota: usa TLSv1.3 solo se hai OpenSSL nella versione 1.1.1 nel tuo server. Puoi verificare la versione eseguendo il comando openssl version.

3.    Salva il file premendo esc, poi digita :wq!, quindi premi INVIO.

4.    Riavvia il servizio Apache:

Per le distribuzioni Linux come Amazon Linux 2 e CentOS

sudo systemctl restart httpd

Per le distribuzioni Linux come Ubuntu e Debian

sudo systemctl restart apache2

Servizio web NGINX

1.    Apri il file di configurazione:

sudo vi /etc/nginx/nginx.conf

2.    Nel file di configurazione, modifica la direttiva SSLProtocol in modo che rifletta la versione di TLS che desideri utilizzare. Nell'esempio seguente, la versione di TLS è 1.2 e 1.3.

ssl_protocols TLSv1.2 TLSv1.3;

Nota: usa TLSv1.3 solo se hai OpenSSL nella versione 1.1.1 nel tuo server. Puoi verificare la versione eseguendo il comando openssl version.

3.    Salva il file premendo esc, poi digita :wq!, quindi premi INVIO.

4.    Riavvia il servizio Apache:

sudo systemctl restart nginx

Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?