فعال کردن TLS1.3 بر روی Apache، Nginx و CloudFlare

[Saman Yazdannik]

فعال کردن TLS1.3 بر روی Apache، Nginx و CloudFlare​

امنیت یکی از نکات بسار مهم می باشد که برای دستیابی به امنیت بالاتر ابزارها و روش های گوناگونی وجود دارد. یکی از موارد جهت بالا بردن امنیت سرویس خود استفاده از TLS می باشد که سر نام واژه های Transport Layer Security می باشد و جدیدترین نسخه ی آن TLS 1.3 می باشد.


TLS 1.3 بر اساس نسخه ی قبلی همین پروتکل یعنی TLS 1.2 می باشد با این تفاوت که TLS 1.3 دارای کارایی (performance) بهتر و امنیت (security) بیشتر می باشد.

پروتکل TLS قابلیت فعال شدن در وب سرورها، CDN ها و Load Balancer ها را دارا می باشد که در این مطلب قصد داریم تا TLS 1.3 را بر روی Web Server هایی چون Nginx و Apache و همچنین Cloudflare که یک CDN می باشد، فعال نماییم.

در مقاله پیشین فعال سازی TLS1.3 کمی در مورد این پروتکل و نحوه فعال سازی آن در CentOS8 صحبت نمودیم. هم اکنون TLS1.3 توسط مرورگر‌های زیاد پشتیبانی نمی‌شود اما تمام نسخ‌های جدید مرورگرهایی مانند کروم، فایرفاکس و سافاری از آن پشتیبانی می‌کنند شما حتی می‌توانید از این صفحه مشاهد‌ کنید که چه زمانی TLS1.3 به صورت عمومی پشتیبانی خواهد شد.

البته شما می‌توانید TLS1.3 را در کنار TLS1.1 و TLS1.2 فعال نمایید که تداخلی در عملکرد سایت برای مرورگرهای قدیمی و جدید نداشته باشد.

فعال سازی TLS1.3 در Nginx


TLS1.3 در نسخه 1.13 Nginx پشتیبانی می‌شود و اگر از نسخه‌ی قدیمی‌تری استفاده می‌کنید برای استفاده از TLS1.3 باید آن را ارتقا دهید.

خب در این مقاله فرض ما این است که شما از نسخه 1.13 Nginx استفاده می‌نمایید.

در قدم اول وارد سرور خود شوید. در ادمه فایل nginx.conf را پیدا نمایید و از آن نسخه پشتیبان تهیه نمایید.

فایل nginx.conf را با ادیتور مورد نظر خود ویرایش نمایید.

در این فایل بخش SSL به صورت زیر دیده می‌شود:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

فقط کافیست TLSv1.3 را به انتهای آن اضافه نمایید. مانند زیر:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

حالا وب سرور شما از هر سه پروتکل یاد شده پشتیبانی خواهد نمود. اما اگر می‌خواهید ارتباط کاملا امن باشد ن را به صورت زیر درآورید.

ssl_protocols TLSv1.2 TLSv1.3;

و Nginx را دوباره راه اندازی نمایید.



فعال سازی TLS1.3 در Apache


TLS1.3 فقط در نسخه Apache HTTP 2.4.38 و جدیدتر از Apache پشتیبانی می‌شود پس اگر فکر استفاده از TLS1.3 به ذهنتان خطور کرده بهتر است تا وب سرور Apache خود را بروزرسانی کنید. فعال سازی TLS 1.3 بسیار آسان و همانند TLS1.2 می‌باشد. برای این منظور از دستورالعمل زیر استفاده نمایید.

در قدم اول وارد وب سرور Apache خود شوید. و فایل ssl.conf را پیدا کرده و از آن پشتیبان تهیه نمایید.

در فایل مورد نظر SSLProtocol را پیدا نموده و در پایان خط عبارت +TLSv1.3 را اضافه نمایید.

مانند خط زیر:

SSLProtocol -all +TLSv1.2 +TLSv1.3

فایل را ذخیره نمایید و Apache را راه اندازی مجدد کنید.



فعال سازی TLS1.3 در CloudFLare


یکی از محبوب ترین ارائه کنندگان CDN شرکت CloudFlare می‌باشد که TLS1.3 را به صورت پیش فرض برای تمام مشتریان خود فعال نموده است. اما اگر شما نیاز دارید تا TLS1.3 را غیر فعال نمایید باید مانند دستور العمل زیر عمل کنید:

وارد اکانت خود شوید

در تب Crypto کمی به پایین اسکرول کنید و گزینه TLS 1.3 را غیر فعال نمایید.

همانطور که مشخص می باشد جهت بررسی نسخه های TLS 1.2 و TLS 1.1 می توانید از دستورهای زیر استفاده کنید:

$ openssl s_client -connect fedorafans.com:443 -tls1_2

$ openssl s_client -connect fedorafans.com:443 -tls1_1

امید است تا از این مطلب استفاده ی لازم را برده باشید و همیشه سرویس های امنی داشته باشید.