Red Hat Training

A Red Hat training course is available for RHEL 8

1.6.3. Cómo configurar los cifrados admitidos en un servidor HTTP Apache

Por defecto, el servidor HTTP Apache en RHEL 8 utiliza la política de cifrado de todo el sistema que define valores seguros por defecto, que también son compatibles con los navegadores recientes. Para ver la lista de cifrados que permite la política de cifrado de todo el sistema, consulte el archivo /etc/crypto-policies/back-ends/openssl.config.

Esta sección describe cómo configurar manualmente los cifrados que soporta su servidor HTTP Apache. Siga el procedimiento si su entorno requiere cifrados específicos.

Requisitos previos

Procedimiento

  1. Edite el archivo /etc/httpd/conf/httpd.conf y añada el parámetro SSLCipherSuite a la directiva <VirtualHost> para la que desea establecer los cifrados TLS: 

    SSLCipherSuite \ "EECDH AESGCM:EDH AESGCM:AES256 EECDH:AES256 EDH:!SHA1:!SHA256"

    Este ejemplo activa sólo los cifrados EECDH AESGCM, EDH AESGCM, AES256 EECDH, y AES256 EDH y desactiva todos los cifrados que utilizan el código de autenticación de mensajes (MAC) SHA1 y SHA256.

  2. Reinicie el servicio httpd: 

    # systemctl restart httpd

Pasos de verificación

  1. Para mostrar la lista de cifrados que soporta el servidor HTTP Apache:

    1. Instale el paquete nmap: 

      # yum install nmap

    2. Utiliza la utilidad nmap para mostrar los cifrados soportados: 

      # nmap --script ssl-enum-ciphers -p 443 example.com
...
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
...

Recursos adicionales