Dit artikel laat zien hoe je de protocollen SSL 2.0, SSL 3.0 en oudere TLS-versies kunt uitschakelen op je Apache webserver, om voorbereid te zijn op een modernere en veiligere configuratie.

Waarom SSL v2, SSL v3 en andere TLS versies uitschakelen?

SSL 2.0 en SSL 3.0 zijn verouderde versies van het SSL protocol die al lang geleden zijn vervangen door het veiligere Transport Layer Security (TLS) protocol, dat een hogere mate van beveiliging biedt.
Bovendien werd in 2014 een beveiligingslek in SSL 3.0 ontdekt met de bijnaam POODLE, waardoor een aanvaller de SSL-beveiliging volledig kon omzeilen. Uw Apache webserver zou deze protocollen niet moeten gebruiken voor een betere beveiliging.

Naarmate de tijd vorderde, zijn de protocollen TLS v1 en TLS v1.1 ook verouderd en afgeschreven, daarom is het verstandig om deze ook uit te schakelen in uw configuratie.

Als u nog een stap verder wilt gaan, kunt u ook TLS v1.2 verwijderen, maar op het moment van schrijven kunnen we concluderen dat het uitschakelen van TLS v1.2 problemen kan opleveren voor oudere browsers. Daarom raden we het niet aan.

Stap 1: Vind alle SSL websites op Apache

Tenzij u slechts één site hoeft aan te passen, in welk geval u gewoon het virtuele hosts-bestand kunt openen dat u nodig hebt, probeer dan alle SSL-websites te vinden met het volgende commando, uitgevoerd in de hoofdmap van uw Apache-installatie.

Dit zal ook voorkomen dat u *denkt* dat u de SSL-protocollen hebt uitgeschakeld, maar dat ze misschien nog ergens in de apache-configuratie zijn ingeschakeld. Houd er rekening mee dat als een host niet expliciet is uitgeschakeld, de oudere protocollen worden geladen!
Ga naar de installatiemap van uw Apache-distributie en zoek alle configuraties die SSL-informatie bevatten:

grep -r SSLEngine *

Dit zal een lijst geven van alle SSL VirtualHost blokken die u moet wijzigen.

Merk op dat uw Apache installatiedirectory kan verschillen naargelang uw distributie. De meest voorkomende locaties zijn:

• /etc/httpd voor Red Hat, CentOs, Fedora en vele andere distributies
• /etc/apache2 voor Debian en Ubuntu distributies

Stap 2: Wijzig de virtuele hosts

Gebruik vi of uw favoriete tekstverwerker om de volgende regel toe te voegen of te wijzigen in elk VirtualHost blok dat moet worden bijgewerkt:

SSLProtocol alle -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Stap 3: Herstart Apache

Herstart Apache met een van de volgende commando's:

/etc/init.d/httpd restart
service httpd herstart
apachectl -k restart

Extra informatie

Als je een kant-en-klare configuratie voor Apache wilt hebben, raden we je de Mozzila.org SSL Configuration Generator aan. Deze laat je toe om de Apache versie en OpenSSL versie te kiezen en helpt je om een Old (bv. behoorlijk verouderd), Intermediate (meer actuele implementatie) of Modern (geavanceerde) SSL configuratie voor je server te kiezen.

Meer info: https://ssl-config.mozilla.org/