Назад | Перейти на главную страницу

Отключите TLS1.0 на Apache для соответствия PCI

В соответствии с требованиями Pci DSS указано, что к июню 2016 года TLSv1.0 должен быть отключен. Мой беглый поиск научил меня, что -TLSv1 в части SSLProtocals конфигурации apache (рядом с -SSLv3). Я пробовал каждую из следующих строк в своем /etc/apache2/conf_available/https.conf, но безрезультатно. Я не могу понять, почему изменение этих протоколов не имеет значения на моем сервере (Apache / 2.4.25 в Ubuntu 16.04)

SSLProtocol -all -SSLv3 -TLSv1 + TLSv1.1 + TLSv1.2
SSLProtocol -all + TLSv1.2
SSLProtocol + TLSv1.1 + TLSv1.2
SSLProtocol -TLSv1 + TLSv1.1 + TLSv1.2

Каждый раз я тестирую с https://www.ssllabs.com/ssltest/index.html, Получаю тот же результат - TLSv1 никогда не отключается. Что мне здесь не хватает? Зависимы ли версии TLS друг от друга?

Многообещающие ссылки, которые у меня не работали
http://utdream.org/post.cfm/how-to-disable-tlsv1-0-for-pci-compliance-in-apache-2-2
https://ubuntuforums.org/showthread.php?t=2288000

Это просто означает, что файл, который вы настраиваете, не загружается.

Попробуйте определить SSLProtocol TLSv1.2 в основном файле конфигурации "apache2.conf" или как он называется.

Когда вы используете одну из этих «многофайловых» схем конфигурации из дистрибутива, вам необходимо иметь полный контроль над тем, что происходит за кулисами. И Apache не заботится о файлах, он заботится только о «контексте». Итак, определите вышеуказанное в контексте конфигурации сервера, используйте "mod_info", если вам нужно быть уверенным, что директива загружается правильно.