← Alle Guides
TLS 1.0 und 1.1 haben bekannte Schwachstellen (POODLE, BEAST). Nur TLS 1.2 und 1.3 sollten aktiv sein.
Risiko: Protokoll-Downgrade-Angriffe, bekannte Krypto-Schwachstellen ausnutzbar.
Apache
# /etc/apache2/mods-enabled/ssl.conf (oder VHost):
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder on
sudo systemctl restart apache2
Nginx
# In der nginx.conf oder VHost:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers on;
sudo systemctl restart nginx