Como desativo o TLS 1.0 ou TLS 1.1 em minha instância do Lightsail?

Última atualização: 2021-10-22

Como desativo o TLS 1.0 ou TLS 1.1 em minha instância do Amazon Lightsail?

Breve descrição

Todas as versões do protocolo SSL/TLS anteriores à versão TLS 1.2 estão obsoletas e são consideradas inseguras. A maioria dos servidores Web ainda tem essas versões TLS ativadas por padrão. Você pode desativar esses protocolos modificando a diretiva SSLProtocol nos arquivos de configuração do servidor Web. A resolução a seguir aborda a desativação dessas versões obsoletas do TLS em instâncias do Lightsail para servidores Web Apache e NGINX.

Observação: se estiver usando o balanceador de carga do Amazon Lightsail para seu site, você também deverá desativar o TLS versão 1.0 e 1.1 no balanceador de carga. No entanto, atualmente não há suporte para a desativação de versões do TLS no balanceador de carga do Lightsail. Para desativar essas versões do TLS e também usar o balanceador de carga do Lightsail, use um Amazon Application Load Balancer em vez de um balanceador de carga do Lightsail.

Resolução

Observação: os caminhos de arquivo mencionados neste artigo podem mudar dependendo do seguinte:

  • A instância tem uma pilha Bitnami e a pilha Bitnami usa pacotes nativos do sistema Linux (abordagem A).
  • A instância tem uma pilha Bitnami e é uma instalação autônoma (abordagem B).

Se estiver usando uma instância do Lightsail com uma pilha Bitnami, execute o seguinte comando para identificar o tipo de sua instalação do Bitnami:

test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."

Instâncias do Lightsail com uma pilha Bitnami

Serviço da Web Apache

1.    Abra o arquivo de configuração:

Pilha Bitnami na abordagem A

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

Pilha Bitnami na abordagem B

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2.    No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão do TLS que deseja usar. No exemplo a seguir, a versão do TLS é 1.2 e 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Observação: só use o TLS v1.3 se tiver o OpenSSL versão 1.1.1 em seu servidor. Você pode verificar a versão executando o comando openssl version.

3.    Salve o arquivo pressionando esc, digite :wq! e, em seguida, pressione ENTER.

4.    Reinicie o serviço Apache:

sudo /opt/bitnami/ctlscript.sh restart apache

Serviço da Web Nginx

1.    Abra o arquivo de configuração:

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2.    No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão do TLS que deseja usar. No exemplo a seguir, a versão do TLS é 1.2 e 1.3.

ssl_protocol TLSv1.2 TLSv1.3;

Observação: só use o TLS v1.3 se tiver o OpenSSL versão 1.1.1 em seu servidor. Você pode verificar a versão executando o comando openssl version.

3.    Salve o arquivo pressionando esc, digite :wq! e, em seguida, pressione ENTER.

4.    Reinicie o serviço Apache:

sudo /opt/bitnami/ctlscript.sh restart nginx

Instâncias do Lightsail sem uma pilha Bitnami

Serviço da Web Apache

1.    Abra o arquivo de configuração:
Para distribuições Linux, como Amazon Linux 2 e CentOS

sudo vi /etc/httpd/conf.d/ssl.conf

Para distribuições Linux, como Ubuntu e Debian

sudo vi /etc/apache2/mods-enabled/ssl.conf

2.    No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão do TLS que deseja usar. No exemplo a seguir, a versão do TLS é 1.2 e 1.3.

SSLProtocol +TLSv1.2 +TLSv1.3

Observação: só use o TLS v1.3 se tiver o OpenSSL versão 1.1.1 em seu servidor. Você pode verificar a versão executando o comando openssl version.

3.    Salve o arquivo pressionando esc, digite :wq! e, em seguida, pressione ENTER.

4.    Reinicie o serviço Apache:

Para distribuições Linux, como Amazon Linux 2 e CentOS

sudo systemctl restart httpd

Para distribuições Linux, como Ubuntu e Debian

sudo systemctl restart apache2

Serviço da Web Nginx

1.    Abra o arquivo de configuração:

sudo vi /etc/nginx/nginx.conf

2.    No arquivo de configuração, modifique a diretiva SSLProtocol para refletir a versão do TLS que deseja usar. No exemplo a seguir, a versão do TLS é 1.2 e 1.3.

ssl_protocol TLSv1.2 TLSv1.3;

Observação: só use o TLS v1.3 se tiver o OpenSSL versão 1.1.1 em seu servidor. Você pode verificar a versão executando o comando openssl version.

3.    Salve o arquivo pressionando esc, digite :wq! e, em seguida, pressione ENTER.

4.    Reinicie o serviço Apache:

sudo systemctl restart nginx

Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?