Da wir keine Ahnung haben, über welches Betriebssystem Sie verfügen, über Serversoftware oder ähnliches, werde ich Ihnen einige allgemeine Informationen geben, die Sie in die richtige Richtung weisen.
Hinweis: Es ist durchaus möglich, dass größere Konfigurationsänderungen andere auf dem System ausgeführte Software beeinflussen. Es ist am besten, eine vollständige Sicherung des Servers zu haben, bevor Sie beginnen. Es ist noch besser, dieses Backup auf einer virtuellen Maschine wiederherzustellen und die Änderungen dort zu testen, bevor sie in der Produktion implementiert werden.
Wenn Ihr Unternehmen noch nicht über ein SSL-Zertifikat verfügt, müssen Sie eines erwerben, beispielsweise hier: https://www.digicert.com/ Vorzugsweise EV-Zertifikat. Für den persönlichen Gebrauch ist das Verschlüsseln gut, aber Sie müssen die Konformität bestehen, damit es nicht gut genug ist.
Auf Linux-Servern und / oder auf dem PC Zuerst müssen Sie sicherstellen, dass Sie über eine unterstützte Version von openssl verfügen. In vielen Fällen bedeutet dies, dass Sie Ihre libssl und / oder libopenssl aktualisieren. https://www.openssl.org/
Am häufigsten sind Webserver wie Apache und Nginx.
- Aktualisieren Sie Ihre SSL-Bibliothek
- Webserver aktualisieren
- Ändern Sie die Webserver-Konfiguration so, dass nur TLS verwendet wird.
Die meisten Linux-Distributionen verfügen über integrierte Paketmanager. Schlagen Sie in der Dokumentation nach, welche Ihr Linux unterstützt, es folgen jedoch einige Beispiele. Sie möchten wahrscheinlich vorerst bei einem Update bleiben, da beim Upgrade umfassende systemweite Änderungen vorgenommen werden. Aus diesem Grund machen wir ein vollständiges Backup, falls etwas Schlimmes passiert.
apt-get update apt-get upgrade apt-get distro zypper update zypper dup
Was ist zu planen? Bei vielen Versions-Upgrades von Apache wurden Konfigurationsänderungen vorgenommen, und Apache kann anfangs nicht gestartet werden. Sie müssen die Protokolldateien anzeigen, um zu wissen, wo sich die Fehler befinden. Dann konsultieren Sie die Website von Google und Apache, um die Konfiguration zu aktualisieren. Einige Zeiten in / var / log / apache / error_log
Für Apache müssen mindestens diese Optionen eingestellt werden. Sie können die Liste der erlaubten Dinge ändern, aber es funktioniert für mich.
In ssl-global.conf
SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA SSLHonorCipherOrder on # Point SSLCertificateFile at a PEM encoded certificate. SSLCertificateFile /etc/apache2/ssl.crt/server.crt SSLCertificateKeyFile /etc/apache2/ssl.key/server.key
Windows PC
Windows Server 2003 unterstützt das TLS 1.2-Protokoll nicht.
https://www.basics.net/2015/10/06/iis-7-5-wie-her-zuerreichen-tls-1-1-und-tls-1-2/
Die meisten Windows-Versionen unterstützen TLS. Sie verwenden wahrscheinlich IIS.
Es ist möglich, wenn die Versionen älter sind oder Sie möglicherweise ein Upgrade durchführen.
Dann müssen Sie die Konfiguration bearbeiten, um alle SSL-Versionen zu deaktivieren.