Как обновить TLS до 1.2?

Question

[Dwellss]

Пришло письмо от гугла с требованием обновить TLS до 1.2. Сертификат от Let's Encrypt. Php 7.2.
Я не очень понимаю, что мне нужно обновить, чтобы обновился TLS?

Comments

[Сослан Хлоев]

Настройки веб сервера покажите, версию openssl

[Dwellss]

Сослан Хлоев, версия OpenSSL 1.1.1d 10 Sep 2019

[Сослан Хлоев]

Dwellss, openssl 1.1.1 поддерживает даже TLS 1.3

Answer 1

[smilingcheater]

За шифрование у вас на сервере что отвечает - apache или nginx? В nginx в надо указать директиву ssl_protocols TLSv1.2; Про апач не подскажу.

Answer 2

[Radjah]

Для поддержки шифрования программы обычно используют OpenSSL.

OpenSSL 1.1.1d, который умеет TLS 1.3, есть в Debian 10. Версия из Debian 9 точно умела TLS 1.2.

Если версия слишком старая, то никакое изменение конфигов не поможет.

Answer 3

[Евгений]

1. определить какое ПО у вас принимает ssl соединение.
Это может быть балансировщик (haproxy, nginx, etc) или вебсервер(nginx, apache, etc..)
2. отключить использование TLS ниже 1.2 или жестко задать использование tls 1.2(второе не рекомендуется, но возможно в некоторых случаях придется использовать)
Для этого нужно исправить конфигурацию той секции, которая принимает внешние соединения по https.
Я бы ориентировался на https://ssl-config.mozilla.org/ - конфигуратор от Мозиллы. Только не надо бездумно копировать то что там написано - нужно понимать куда и что прописывать. Этот конфиг генератор подойдет для дефолтных инстялляций или как справочный материал.
Прежде чем делать что-то в следующих пунктах я бы сначала проверил какие версии tls поддерживает ваш вебсервер: натравите на него https://www.ssllabs.com/ssltest/ - он в репорте напишет какие версии TLS поддерживает ваше текущее ПО. Если там есть как минимум tls 1.2(и в идеале и 1.3) - значит можно обойтись настройкой, без обновления ПО

3. В тяжелых случаях возможно потребуется обновить то ПО которое SSL соединение принимает.
4. Или openssl либы на машине.
5. Или обновить ПО с использованием либ последних версий openssl