Red Hat Training

A Red Hat training course is available for RHEL 8

1.6.2. Configuración de las versiones de protocolo TLS admitidas en un servidor HTTP Apache

Por defecto, el servidor HTTP Apache en RHEL 8 utiliza la política crypto de todo el sistema que define valores seguros por defecto, que además son compatibles con los navegadores recientes. Por ejemplo, la política DEFAULT define que sólo las versiones del protocolo TLSv1.2 y TLSv1.3 están habilitadas en apache.

Esta sección describe cómo configurar manualmente las versiones del protocolo TLS que soporta su servidor HTTP Apache. Siga el procedimiento si su entorno requiere habilitar sólo versiones específicas del protocolo TLS, por ejemplo:

  • Si su entorno requiere que los clientes también puedan utilizar el protocolo débil TLS1 (TLSv1.0) o TLS1.1.
  • Si quiere configurar que Apache sólo soporte el protocolo TLSv1.2 o TLSv1.3.

Requisitos previos

Procedimiento

  1. Edite el archivo /etc/httpd/conf/httpd.conf y añada la siguiente configuración a la directiva <VirtualHost> para la que desea establecer la versión del protocolo TLS. Por ejemplo, para habilitar sólo el protocolo TLSv1.3:

    SSLProtocolo -Todo TLSv1.3
  2. Reinicie el servicio httpd:

    # systemctl restart httpd

Pasos de verificación

  1. Utilice el siguiente comando para verificar que el servidor soporta TLSv1.3:

    # openssl s_client -connect example.com:443 -tls1_3
  2. Utilice el siguiente comando para verificar que el servidor no soporta TLSv1.2:

    # openssl s_client -connect example.com:443 -tls1_2

    Si el servidor no soporta el protocolo, el comando devuelve un error:

    140111600609088:error:1409442E:Rutinas SSL:ssl3_read_bytes:versión del protocolo de alerta tlsv1:ssl/record/rec_layer_s3.c:1543:Número de alerta SSL 70
  3. Opcional: Repita el comando para otras versiones del protocolo TLS.

Recursos adicionales