Let’s Encrypt:ApacheのTLS 1.1とTLS 1.0を有効化する方法

Let’s EncryptによるSSL証明書を利用した環境で、TLS 1.1を有効化する方法のメモです。
他、環境情報としてOSはCentOS 7.6、Apacheは 2.4.6(yumインストール)を利用しています。

Let’s EncryptによるSSL証明書を利用した環境では、ssl.conf にて Include /etc/letsencrypt/options-ssl-apache.conf と専用のSSL設定ファイルをインクルードして既存のSSL設定を上書きされています。

というわけで今回は options-ssl-apache.conf を修正します。

# cp -p /etc/letsencrypt/options-ssl-apache.conf /etc/letsencrypt/options-ssl-apache.conf.saved
# vi /etc/letsencrypt/options-ssl-apache.conf

下記内容て SSLProtocol と SSLCipherSuite を変更します。
SSLProtocol のみの変更では、TLS 1.1以下にて利用される CipherSuite が含まれていないままなので利用できません。

SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

 ↓ 下記に変更

SSLProtocol             all -SSLv2 -SSLv3
SSLCipherSuite          ALL:!ECDHE-RSA-RC4-SHA:!RC4-MD5:!RC4-SHA

これで完了。最後にApacheを再起動すれば適用されるはず。

# systemctl restart httpd

おまけに openssl コマンドでプロトコルを指定して接続確認をしておけば更にOKかもです。

$ openssl s_client -connect 127.0.0.1:443 -tls1_1
・応答があることを確認

これで終了!

ちなみに上の設定では SSLCipherSuite がほぼALL OKとなっているので、これはあくまで試験的に‥。必要に応じてSSLCipherSuiteを絞ることをオススメします。

コメントを残す

メールアドレスが公開されることはありません。