Поскольку мы понятия не имеем, какая у вас ОС, серверное программное обеспечение или что-то в этом роде, я предложу некоторую общую информацию, которая укажет вам правильное направление.
Примечание. Вполне возможно, что серьезные изменения конфигурации могут повлиять на другое программное обеспечение, работающее в системе. Лучше всего сделать полную резервную копию сервера, прежде чем начать. Еще лучше восстановить эту резервную копию на виртуальной машине и протестировать изменения перед ее внедрением в производство.
Если у вашей компании еще нет сертификата для SSL, вам необходимо будет приобрести его, например, здесь: https://www.digicert.com/ Предпочтительно, EV cert. Для личного использования позволяет использовать шифрование, но вам нужно пройти проверку соответствия, чтобы оно не было достаточно хорошим.
На серверах linux и / или ПК Сначала вам нужно убедиться, что у вас есть поддерживаемая версия openssl. Во многих случаях это означает обновление вашего libssl и / или libopenssl. https://www.openssl.org/
Наиболее распространенными являются веб-серверы, такие как apache и nginx.
- обновить вашу библиотеку SSL
- обновить веб-сервер
- Измените конфигурацию веб-сервера, чтобы использовать только TLS.
Большинство дистрибутивов Linux имеют встроенные менеджеры пакетов. Обратитесь к документации, которую поддерживает ваш linux, но вот несколько примеров. Вы, вероятно, хотите придерживаться обновления на данный момент, так как обновление вносит широкие системные изменения. Тем не менее, именно поэтому мы делаем полное резервное копирование на случай, если случится что-то плохое.
apt-get update apt-get upgrade apt-get distro zypper update zypper dup
На что планировать. Многие обновления версии apache имеют изменения конфигурации, и apache может изначально не запуститься. Вам нужно будет просмотреть файлы журнала, чтобы узнать, где находятся ошибки. Затем обратитесь к веб-сайту Google и Apache, чтобы обновить конфигурацию. Несколько раз находится в / var / log / apache / error_log
Для Apache, по крайней мере, эти параметры должны быть установлены. Вы можете изменить список разрешенных вещей, но это работает для меня.
В ssl-global.conf
SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA SSLHonorCipherOrder on # Point SSLCertificateFile at a PEM encoded certificate. SSLCertificateFile /etc/apache2/ssl.crt/server.crt SSLCertificateKeyFile /etc/apache2/ssl.key/server.key
ПК с Windows
Windows Server 2003 не поддерживает протокол TLS 1.2.
https://www.basics.net/2015/10/06/iis-7-5-how-to-enable-tls-1-1-and-tls-1-2/
Большинство версий Windows имеют поддержку TLS. Они, вероятно, используют IIS.
Это возможно, если у них есть супер старые версии или вам может потребоваться обновить.
Затем вам нужно отредактировать конфигурацию, чтобы отключить все версии SSL.