Ինչպե՞ս միացնել TLS 1.3-ը Apache-ում և Nginx-ում:


Ներածություն

Կիբերհարձակումների քանակի աճով, կայքերի և սերվերների անվտանգությունն ավելի կարևոր է դարձել, քան երբևէ: Կայքի անվտանգության ամենակարևոր բաղադրիչներից մեկը Տրանսպորտային շերտի անվտանգությունն է (TLS), որը կոդավորում է վեբ սերվերների և հաճախորդների միջև ուղարկված տվյալները: TLS 1.3-ը TLS-ի վերջին տարբերակն է, որն առաջարկում է ուժեղացված անվտանգություն, ավելի արագ կապեր և բարելավված կատարում՝ համեմատած նախորդ տարբերակների հետ:

TLS 1.3-ը միացնելու կարևորությունը վեբ սերվերներում, ինչպիսիք են Apache-ն և Nginx-ը

Վեբ սերվերները պատասխանատու են այնպիսի զգայուն տեղեկատվության հետ աշխատելու համար, ինչպիսիք են մուտքի հավատարմագրերը կամ անձնական տվյալները, որոնք ներկայացված են իրենց հյուրընկալող կայքերի ձևաթղթերի միջոցով: Վեբ սերվերների վրա TLS-ի վերջին տարբերակի միացումը օգնում է պաշտպանել այս տեղեկատվությունը տարանցման ընթացքում գաղտնալսվելուց կամ կեղծիքից: Apache-ն և Nginx-ը բաց կոդով վեբ սերվերի երկու հայտնի ծրագրային փաթեթներ են, որոնք օգտագործվում են միլիոնավոր մարդկանց կողմից ամբողջ աշխարհում՝ Linux-ի վրա հիմնված օպերացիոն համակարգերի վեբկայքերի հոսթինգի համար, ինչպիսիք են Ubuntu-ն կամ CentOS-ը, ի թիվս այլոց:

Այս փաթեթների նման արդիական SSL/TLS արձանագրությունների աջակցության ակտիվացումը կօգնի բարձրացնել անվտանգության մակարդակը՝ թույլ տալով օգտատերերին շփվել միայն թարմացված գաղտնագրման հավաքակազմերի հետ՝ HTTPS արձանագրության միջոցով մուտք գործելիս ձեր հյուրընկալված բովանդակությունը: Այս հոդվածում մենք ձեզ կքայլենք TLS 1.3-ը և՛ Apache-ում, և՛ Nginx-ում միացնելու ճշգրիտ քայլերով, որպեսզի կարողանաք համոզվել, որ ձեր վեբ սերվերն օգտագործում է այսօր առկա գաղտնագրման վերջին և լավագույն արձանագրությունները:

TLS 1.3-ի ակտիվացում Apache-ում

Apache տարբերակի համատեղելիության ստուգում TLS 1.3-ի հետ

Նախքան Apache-ում TLS 1.3-ը միացնելը, կարևոր է ստուգել, թե արդյոք Apache-ի ներկայիս տարբերակը աջակցում է TLS 1.3-ին: Սկսած Apache HTTP սերվերի 2.4.36 տարբերակից, այն լռելյայն ունի ներկառուցված աջակցություն TLS 1.3-ի համար, ինչը նշանակում է, որ այն ակտիվացնելու համար ձեզ հարկավոր չէ տեղադրել որևէ լրացուցիչ մոդուլ կամ պատչ: Apache HTTP սերվերի ձեր ընթացիկ տարբերակը ստուգելու համար բացեք տերմինալ և գործարկեք հետևյալ հրամանը

apache2ctl -v 

Եթե ելքը ցույց է տալիս Apache HTTP սերվերի տարբերակ, որը ցածր է 2.4.36-ից, դուք պետք է թարմացնեք ձեր սերվերը՝ նախքան TLS 1.3-ը միացնելը:

OpenSSL-ի թարմացում՝ TLS 1.3-ին աջակցելու համար

Երբ հաստատեք, որ Apache HTTP սերվերի ձեր տարբերակը աջակցում է TLS 1.3, հաջորդ քայլը OpenSSL-ի թարմացումն է՝ այն նաև աջակցելու համար: OpenSSL-ը բաց կոդով իրականացում է SSL և TLS արձանագրությունների համար, որոնք օգտագործվում են բազմաթիվ վեբ սերվերների կողմից, ներառյալ Apache-ն և Nginx-ը:

Ubuntu-ի կամ Debian-ի վրա հիմնված համակարգերում TLS 1.3 աջակցությամբ OpenSSL-ը տեղադրելու և միացնելու համար գործարկեք հետևյալ հրամանները.

sudo apt-get update 
sudo apt-get install -y libssl-dev openssl cd /usr/local/src/ 
sudo wget https://www.openssl.org/source/openssl-1.X.Y.tar.gz sudo tar xzf openssl-1.X.Y.tar.gz && cd openssl-1.X.Y 
sudo ./config && make && make test && sudo make install_sw 

Համոզվեք, որ «X»-ը և «Y»-ը փոխարինեք OpenSSL-ի համապատասխան տարբերակներով, որոնք ցանկանում եք տեղադրել:

Apache-ի կարգավորում TLS 1.3-ը միացնելու համար

OpenSSL-ը TLS 1.3 աջակցությամբ տեղադրելուց և միացնելուց հետո հաջորդ քայլը Apache HTTP սերվերի կարգավորումն է՝ այն օգտագործելու համար: Apache-ում TLS 1.3-ը միացնելու համար դուք պետք է ավելացնեք կոդերի հետևյալ տողերը ձեր SSL կազմաձևման ֆայլում.

SSLProtocol TLSv1.3 
SSLCipherSuite TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 

Դուք կարող եք գտնել SSL կազմաձևման ֆայլը `/etc/apache2/mods-enabled/ssl.conf` կամ `/etc/httpd/conf.d/ssl.conf`` կախված ձեր համակարգից:

Կազմաձևի փորձարկում՝ օգտագործելով SSL Labs կամ այլ գործիքներ

Apache HTTP սերվերը TLS 1.3 աջակցությամբ կարգավորելուց հետո անհրաժեշտ է ստուգել կապը առցանց գործիքների միջոցով, ինչպիսիք են SSL Labs-ը: SSL Labs-ը տրամադրում է անվճար առցանց գործիք, որը ստուգում է վեբ սերվերների հնարավոր խոցելիությունները և դասակարգում դրանք ըստ անվտանգության մակարդակի:

Դուք կարող եք օգտագործել այս գործիքը՝ ստուգելու համար, որ ձեր Apache HTTP սերվերն աջակցում է TLS 1.3-ին, և որ դրա միացման հետ կապված անվտանգության ռիսկեր չկան: Apache HTTP սերվերի վրա TLS 1.3-ի միացումը կարող է բարելավել ձեր վեբ կայքի անվտանգությունը՝ ապահովելով կապի ավելի արագ արագություն և գաղտնագրման ավելի ուժեղ արձանագրություններ օգտատերերի տվյալների փոխանցման համար:

TLS 1.3-ի ակտիվացում Nginx-ում

Nginx տարբերակի համատեղելիության ստուգում TLS 1.3-ի հետ

Նախքան Nginx-ում TLS 1.3-ը միացնելը, կարևոր է ստուգել ձեր Nginx սերվերի տարբերակի համատեղելիությունը TLS 1.3 արձանագրության հետ: TLS 1.3-ը միացնելու համար դուք պետք է ունենաք ձեր սերվերի վրա տեղադրված Nginx-ի առնվազն 1.13.0 տարբերակը, քանի որ սա առաջին տարբերակն է, որն աջակցություն է ավելացրել TLS 1.3 արձանագրությանը: Ձեր Nginx սերվերի տարբերակը ստուգելու համար օգտագործեք հետևյալ հրամանը ձեր տերմինալում −

nginx -v 

Սա ձեզ ցույց կտա ձեր տեղադրված Nginx սերվերի ընթացիկ տարբերակը:

OpenSSL-ի թարմացում՝ TLS 1.3-ին աջակցելու համար

TLS 1.3-ը ձեր Nginx սերվերում միացնելու համար դուք նաև պետք է թարմացնեք OpenSSL-ը ձեր համակարգում, քանի որ այն ապահովում է ծածկագրային աջակցություն SSL/TLS արձանագրությունների համար: Նախ, պարզեք, թե արդյոք ձեր համակարգում արդեն տեղադրված է OpenSSL-ը, օգտագործելով այս հրամանը -

openssl version -a 

Եթե այն վերադարձնում է արդյունք, ապա դա նշանակում է, որ OpenSSL-ն արդեն տեղադրված է ձեր համակարգում՝ իր ներկայումս տեղադրված տարբերակի հետ միասին: OpenSSL-ն իր վերջին կայուն թողարկմանը թարմացնելու համար՝ TLS 1.3-ի աջակցությամբ, կարող եք օգտագործել ցանկացած համապատասխան փաթեթի կառավարիչ, օրինակ՝ apt կամ yum՝ կախված այն բանից, թե Linux որ բաշխումն եք օգտագործում:

Nginx-ի կարգավորում՝ TLS 1.3-ը միացնելու համար՝ օգտագործելով ssl_protocols հրահանգը

Երբ դուք թարմացնեք SSL-ը և հաստատեք, որ ամեն ինչ լավ է աշխատում, ժամանակն է կարգավորել ձեր nginx սերվերը TLSv1.2 և/կամ vTLSv1-ը միացնելու համար: Կազմաձևման գործընթացը բավականին պարզ է. մեզ անհրաժեշտ է ընդամենը մեկ տող՝ «ssl_protocols», որը մենք կավելացնենք մեր nginx կազմաձևման ֆայլի ներսում:

Այս ֆայլի գտնվելու վայրը կարող է տարբեր լինել՝ կախված ձեր համակարգից: Լռելյայն, այն պետք է գտնվի `/etc/nginx/nginx.conf`-ում, բայց այն կարելի է գտնել նաև `/usr/local/etc/nginx` կամ `/usr/local/nginx/conf`-ում:

Նախ, բացեք կազմաձևման ֆայլը, օգտագործելով ցանկացած տեքստային խմբագրիչ: Այնուհետև «http» բլոկում ավելացրեք հետևյալ տողը

ssl_protocols TLSv1.3; 

Սա թույլ կտա TLS 1.3-ը ձեր Nginx սերվերի համար:

Կազմաձևի փորձարկում՝ օգտագործելով SSL Labs կամ այլ գործիքներ

Ձեր Nginx սերվերում TLS 1.3-ը կարգավորելուց և միացնելուց հետո կարևոր է ստուգել՝ արդյոք կարգավորումն աշխատում է այնպես, ինչպես սպասվում էր, թե ոչ: Կան մի քանի մատչելի գործիքներ, որոնք կարող եք օգտագործել ձեր SSL/TLS կոնֆիգուրացիան փորձարկելու համար, ինչպիսիք են Qualys SSL Labs, High-Tech Bridge-ի SSL/TLS անվտանգության սկաները կամ SSL Server Test-ը ImmuniWeb-ի կողմից:

SSL Server Test by ImmuniWeb-ը ամենաընդգրկուն առցանց գործիքներից մեկն է SSL/TLS կոնֆիգուրացիայի փորձարկման համար և մանրամասն հաշվետվություն է տրամադրում այն մասին, թե որքան լավ է ձեր սերվերը աշխատում անվտանգության տարբեր ստանդարտների և արձանագրությունների դեմ: Այս գործիքով ձեր Nginx սերվերը փորձարկելու համար պարզապես այցելեք նրանց կայք և մուտքագրեք ձեր տիրույթի անունը տրամադրված դաշտում:

Ավարտելուց հետո սեղմեք «Սկսել փորձարկումը»՝ սկանավորման գործընթացը սկսելու համար: Հաջողությամբ ավարտելուց հետո դուք կստանաք մանրամասն հաշվետվություն, որը ցույց կտա, թե արդյոք ամեն ինչ ճիշտ է կազմաձևված, թե արդյոք հայտնաբերվել են խոցելիություններ, որոնք պահանջում են ուղղում:

Եզրակացություն

TLS 1.3-ը Nginx-ում միացնելը պարզ գործընթաց է, որը ներառում է OpenSSL-ի թարմացումն իր վերջին տարբերակին, նախքան nginx-ը կարգավորելը՝ ընդունելու երթևեկությունը TLSv1.3 արձանագրության միջոցով՝ օգտագործելով ssl_protocol հրահանգը nginx կազմաձևման ֆայլերի ներսում: TLSv1.3-ը միացնելու համար մի քանի քայլեր են ներգրավված, օրինակ՝ Nginx-ի ստուգումը: համատեղելիություն արձանագրության այս տարբերակի հետ, թարմացնելով OpenSSL գրադարանը, կարգավորելով ssl_protocol հրահանգը և այլն: TLSv1.3-ը միացնելուց հետո դուք պետք է կատարեք ձեր SSL/TLS կոնֆիգուրացիայի մանրակրկիտ փորձարկում՝ ձեր կայքի այցելուների համար առավելագույն անվտանգությունն ապահովելու համար: