如何解決 Apache 上網站弱點掃描的 Weak SSL Protocol 問題?

介紹

Weak SSL Protocol 通常意味著你的 Apache 支持過時的協議,這些協議不能提供足夠的安全性。 TLS 1.0/1.1 Protocol 和 SSL 2.0/3.0 Protocol 已經過時,TLS 1.0 容易受到某些攻擊。這些都不應該被支持。

解決方法

可參考 Apache 官方文章:https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html

Apache 的伺服器架設可以根據此篇文章

以下解決方法可能會根據架設環境的不同,有不同的修改方式,但是步驟上基本上是一樣。

1. 修改 default-ssl.conf

default-ssl.conf 檔案位於 /etc/apache2/sites-enabled/ 資料夾底下,可以在終端機下指令打開檔案

$ sudo nano /etc/apache2/sites-enabled/default-ssl.conf

在 default-ssl.conf 檔案中新增以下指令,指令我們要關閉 TLS 1.1、TLS 1.0、SSLv3、SSLv2

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

這需要在<VirtualHost>標籤內配置中完成,如下圖。

重啟 Apache 伺服器

sudo systemctl restart apache2

2. 驗證

可以使用線上工具做驗證:https://www.cdn77.com/tls-test

測試結果如下,可以看到我們成功關閉 TLS 1.1、TLS 1.0、SSLv3、SSLv2

Leave a Reply

發佈留言必須填寫的電子郵件地址不會公開。