Red Hat Training

A Red Hat training course is available for RHEL 8

1.6.2. Configuração das versões do protocolo TLS suportadas em um Servidor HTTP Apache

Por padrão, o Servidor HTTP Apache no RHEL 8 utiliza a política de criptografia de todo o sistema que define valores seguros padrão, que também são compatíveis com navegadores recentes. Por exemplo, a política DEFAULT define que somente as versões do protocolo TLSv1.2 e TLSv1.3 são habilitadas no Apache.

Esta seção descreve como configurar manualmente quais versões do protocolo TLS seu Servidor HTTP Apache suporta. Siga o procedimento se seu ambiente exigir que somente versões específicas do protocolo TLS sejam habilitadas, por exemplo:

  • Se seu ambiente exige que os clientes também possam utilizar o fraco protocolo TLS1 (TLSv1.0) ou TLS1.1.
  • Se você quiser configurar que o Apache suporta apenas o protocolo TLSv1.2 ou TLSv1.3.

Pré-requisitos

Procedimento

  1. Edite o arquivo /etc/httpd/conf/httpd.conf, e adicione a seguinte configuração à diretiva <VirtualHost> para a qual você deseja definir a versão do protocolo TLS. Por exemplo, para habilitar somente o protocolo TLSv1.3: 

    SSLProtocol -Todos os TLSv1.3

  2. Reinicie o serviço httpd: 

    # systemctl restart httpd

Etapas de verificação

  1. Use o seguinte comando para verificar se o servidor suporta TLSv1.3: 

    # openssl s_client -connect example.com:443 -tls1_3

  2. Use o seguinte comando para verificar se o servidor não suporta TLSv1.2: 

    # openssl s_client -connect example.com:443 -tls1_2

    Se o servidor não suportar o protocolo, o comando retorna um erro: 

    140111600609088:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1543:SSL alert number 70
  3. Opcional: Repetir o comando para outras versões do protocolo TLS.

Recursos adicionais