Como Habilitar TLS 1.3 & 1.2 en Apache

Es hora de actualizar los TLS de tu Apache, ya que no se si sabéis alguno el TLS 1.0 Y TLS 1.1 caduco el 30 de Enero de 2018.

Por eso mismo os indico como podéis forzar las conexiones con protocolo mas seguro y que por supuesto no este caducado.

Es importante que tu Apache tenga la versión superior 2.4.38 para poder soportar TLS v1.3

Solo tenemos que añadir la siguiente linea en el Virtualhost de Apache

 SSLProtocol -all +TLSv1.2 +TLSv1.3

El archivo de Virtualhost de Apache quedaría así.

<VirtualHost *:443>
    ServerName www.comandoit.com
    DocumentRoot /var/www/html/comandoit.com

    SSLEngine on
    SSLProtocol -all +TLSv1.2 +TLSv1.3
    SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
</VirtualHost>

Después de este cambio tenemos que hacer un reinicio al servicio Apache.

comandoit@comandoit:~#/etc/init.d/apache2 restart

Para comprobar si esta admitiendo el protocolo TLS v1.2 y v1.3 podéis probar de la siguiente manera.

comandoit@comandoit:~# openssl s_client -connect comandoit.com:443 -tls1_2

Os mostrara el resultado del certificado que estáis usando en vuestro servidor de Apache.

SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: DF39CB241F6580C6E6570E0E9827D7F8615A71A76359DB4F9D1B9D3AD
    Session-ID-ctx:
    Master-Key: 12E8FF788E15AAA2E95BE35C5864784B90ED5A9AE8352AFE98C7DCADB04E
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1502214066
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---
closed

Comando IT