Let’s EncryptによるSSL証明書を利用した環境で、TLS 1.1を有効化する方法のメモです。
他、環境情報としてOSはCentOS 7.6、Apacheは 2.4.6(yumインストール)を利用しています。
Let’s EncryptによるSSL証明書を利用した環境では、ssl.conf にて Include /etc/letsencrypt/options-ssl-apache.conf と専用のSSL設定ファイルをインクルードして既存のSSL設定を上書きされています。
というわけで今回は options-ssl-apache.conf を修正します。
# cp -p /etc/letsencrypt/options-ssl-apache.conf /etc/letsencrypt/options-ssl-apache.conf.saved # vi /etc/letsencrypt/options-ssl-apache.conf
下記内容て SSLProtocol と SSLCipherSuite を変更します。
SSLProtocol のみの変更では、TLS 1.1以下にて利用される CipherSuite が含まれていないままなので利用できません。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 ↓ 下記に変更 SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ALL:!ECDHE-RSA-RC4-SHA:!RC4-MD5:!RC4-SHA
これで完了。最後にApacheを再起動すれば適用されるはず。
# systemctl restart httpd
おまけに openssl コマンドでプロトコルを指定して接続確認をしておけば更にOKかもです。
$ openssl s_client -connect 127.0.0.1:443 -tls1_1 ・応答があることを確認
これで終了!
ちなみに上の設定では SSLCipherSuite がほぼALL OKとなっているので、これはあくまで試験的に‥。必要に応じてSSLCipherSuiteを絞ることをオススメします。
