Red Hat Training

A Red Hat training course is available for RHEL 8

2.3. Configuração de TLS endurecimento em aplicações

No Red Hat Enterprise Linux 8, as políticas de criptografia de todo o sistema fornecem uma maneira conveniente de garantir que suas aplicações usando bibliotecas criptográficas não permitam protocolos, cifras ou algoritmos inseguros conhecidos.

Se você quiser endurecer sua configuração relacionada ao TLS com suas configurações criptográficas personalizadas, você pode usar as opções de configuração criptográfica descritas nesta seção, e substituir as políticas de criptografia de todo o sistema apenas na quantidade mínima necessária.

Independentemente da configuração que você escolher usar, certifique-se sempre de exigir que seu aplicativo de servidor faça cumprir server-side cipher order, de modo que o conjunto de cifras a ser usado seja determinado pela ordem que você configurar.

2.3.1. Configurando o Apache HTTP server

O Apache HTTP Server pode usar tanto as bibliotecas OpenSSL como NSS para suas necessidades de TLS. O Red Hat Enterprise Linux 8 fornece a funcionalidade mod_ssl através de pacotes epônimos:

# yum instalar mod_ssl

O pacote mod_ssl instala o arquivo de configuração /etc/httpd/conf.d/ssl.conf, que pode ser usado para modificar as configurações relacionadas ao TLS do Apache HTTP Server.

Instale o pacote httpd-manual para obter a documentação completa para o Apache HTTP Server, incluindo a configuração do TLS. As diretrizes disponíveis no arquivo de configuração /etc/httpd/conf.d/ssl.conf são descritas em detalhes em /usr/share/httpd/manual/mod/mod_ssl.html. Exemplos de várias configurações estão em /usr/share/httpd/manual/ssl/ssl_howto.html.

Ao modificar as configurações no arquivo de configuração /etc/httpd/conf.d/ssl.conf, não deixe de considerar as três diretrizes a seguir no mínimo:

SSLProtocol
Use esta diretiva para especificar a versão do TLS ou SSL que você deseja permitir.
SSLCipherSuite
Use esta diretiva para especificar seu conjunto de cifras preferido ou desabilite aqueles que você deseja desautorizar.
SSLHonorCipherOrder
Descomente e defina esta diretiva para on para garantir que os clientes de conexão adiram à ordem de cifras que você especificou.

Por exemplo, utilizar somente o protocolo TLS 1.2 e 1.3:

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1