Geekflare wird von unserem Publikum unterstützt. Es kann sein, dass wir durch den Kauf von Links auf dieser Seite Affiliate-Provisionen verdienen.
Unter Apache-HTTP , Nginx und Sicherheit Zuletzt aktualisiert: September 24, 2023
Weitergeben:
Invicti Web Application Security Scanner - die einzige Lösung, die eine automatische Überprüfung von Schwachstellen mit Proof-Based Scanning™ ermöglicht.

Eine Schritt-für-Schritt-Anleitung zur Aktivierung der neuesten TLS-Version und zum Testen des Protokolls 1.3

Bevor wir mit der Implementierung beginnen, sollten wir einen Blick darauf werfen, was TLS 1.3 ist, wie es sich von 1.2 unterscheidet, die Geschichte und die Kompatibilität.

Was ist TLS 1.3?

TLS (Transport Layer Security) 1.3 basiert auf den bestehenden 1.2 Spezifikationen. Es ist die neueste Version des TLS-Protokolls und zielt darauf ab, Leistung und Sicherheit zu verbessern.

Weitere Informationen finden Sie in diesem Beitrag von Filippo.

Lassen Sie uns einen Blick auf die Geschichte des TLS-Protokolls werfen.

tls-geschichte

Das TLS-Protokoll kann auf Webservern, CDN, Load Balancern und Netzwerkrandgeräten aktiviert werden.

TLS 1.3 Browser-Kompatibilität

1.3 wird noch nicht von allen Browsern unterstützt. Derzeit funktioniert es nur mit der neuesten Version von Chrome, Firefox, Opera und iOS Safari. Wenn Sie die Lösung implementieren möchten, sobald sie von allen Browsern unterstützt wird, sollten Sie sich diese CanIUse-Seite merken. Da es sich noch in einem frühen Stadium befindet, sollten Sie die Version 1.3 zusammen mit den älteren Versionen 1.2 und 1.1 aktivieren.

Sehen Sie sich an, wie Sie es im Browser aktivieren können.

Hier ist die TLS-Analyse für Geekflare. Wie Sie sehen können, erfolgen mehr als 70% der Anfragen über TLS 1.3.

tls-analytics-geekflare

Aktivieren Sie TLS 1.3 in Nginx

TLS 1.3 wird ab der Version Nginx 1.13 unterstützt. Wenn Sie eine ältere Version verwenden, müssen Sie zunächst ein Upgrade durchführen.

Ich nehme an, Sie haben Nginx 1.13

  • Melden Sie sich am Nginx-Server an
  • Erstellen Sie ein Backup der Datei nginx.conf
  • Ändern Sie nginx.conf mit vi oder Ihrem bevorzugten Editor

Die Standardkonfiguration unter SSL-Einstellungen sollte wie folgt aussehen

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  • Fügen Sie TLSv1.3 am Ende der Zeile hinzu, so dass sie wie folgt aussieht
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

Hinweis: Die obige Konfiguration erlaubt TLS 1/1.1/1.2/1.3. Wenn Sie die sichere Variante TLS 1.2/1.3 aktivieren möchten, sollte Ihre Konfiguration wie folgt aussehen.

ssl_protocols TLSv1.2 TLSv1.3;
  • Starten Sie Nginx neu
service nginx neustart

Es ist ganz einfach. Oder etwa nicht?

Aktivieren Sie TLS 1.3 in Apache

Ab Apache HTTP 2.4.38 können Sie die Vorteile von TLS 1.3 nutzen. Wenn Sie noch die ältere Version verwenden, müssen Sie zuerst an ein Upgrade denken.

Die Konfiguration ist einfach und ähnlich wie bei der Aktivierung des TLS 1.2 oder 1.1 Protokolls.

Schauen wir uns das mal an...

  • Melden Sie sich beim Apache HTTP-Server an und erstellen Sie eine Sicherungskopie der Datei ssl.conf oder der Datei, in der Sie die SSL-Konfiguration gespeichert haben
  • Suchen Sie die Zeile SSLProtocol und fügen Sie TLSv1.3 am Ende der Zeile hinzu

Bsp: Das Folgende würde TLS 1.2 und TLS 1.3 zulassen

SSLProtocol -all TLSv1.2 TLSv1.3
  • Speichern Sie die Datei und starten Sie Apache HTTP neu

Cloudflare

Einer der ersten CDN-Anbieter, der TLS 1.3-Unterstützung implementiert hat. Cloudflare aktiviert sie standardmäßig für alle Websites.

Wenn Sie sie jedoch deaktivieren oder überprüfen möchten, können Sie dies folgendermaßen tun.

  • Anmeldung bei Cloudflare
  • Gehen Sie zur Registerkarte SSL/TLS >> Edge-Zertifikate
  • Scrollen Sie ein wenig nach unten, und Sie sehen die Option TLS 1.3
cloudflare-tls1-3

Welche anderen Plattformen unterstützen TLS 1.3?

Mir sind die folgenden CDN bekannt.

  • CDN 77 - Kürzlich haben sie angekündigt, dass sie TLS 1.3 von ihrem POP (Point of Presence) unterstützen.
  • AKAMAI - AKAMAI hat die Beta-Version im gesamten Netzwerk aktiviert.

Wie kann man überprüfen, ob die Website TLS 1.3 verwendet?

Sobald Sie die Implementierung über einen Webserver oder ein CDN vorgenommen haben, müssen Sie sicherstellen, dass Ihre Website das TLS 1.3-Protokoll verwendet.

Es gibt mehrere Möglichkeiten, dies zu testen.

Geekflare TLS-Test - finden Sie schnell die unterstützte TLS-Version heraus.

geekflare-tls-test-result

SSL-Labore geben Sie Ihre HTTPS-URL ein und scrollen Sie auf der Seite mit den Testergebnissen nach unten.

ssllbas-tls-13

Sie werden sehen, welche Protokolle aktiviert sind.

Google Chrome - wenn Sie Intranetseiten aktivieren, können Sie dies direkt über den Chrome-Browser testen.

  • Starten Sie Chrome
  • Öffnen Sie die Entwicklertools
  • Gehen Sie auf die Registerkarte Sicherheit
  • Greifen Sie auf die HTTPS-URL zu
  • Wählen Sie auf der linken Seite den Hauptursprung, um das Protokoll zu sehen
chrom-test-tls-13

Und das war's!

Da TLS 1.3 noch neu ist, können Sie es auf Ihrer Website implementieren, aber vergessen Sie nicht, die ältere Version aktivieren zu lassen. Die Aktivierung von TLS 1.1 und 1.2 stellt sicher, dass der Client (Browser) eine Verbindung über andere Protokollversionen herstellen kann, wenn diese nicht mit 1.3 kompatibel sind.

Ich hoffe, dies gibt Ihnen eine Vorstellung davon, wie Sie das neueste TLS-Protokoll implementieren, um die Sicherheit Ihrer Website zu verbessern.

  • Chandan Kumar
    Autor
    Chandan Kumar ist der Gründer von Geekflare. Er hat Millionen von Menschen geholfen, sich im digitalen Bereich zu verbessern. Er hat eine Leidenschaft für Technologie und ist auf einer Mission, die Welt zu erforschen und das Wachstum von Fachleuten und Unternehmen zu steigern.
Dank an unsere Sponsoren
Weitere gute Lektüre über Apache HTTP
Energie für Ihr Unternehmen
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti nutzt das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu überprüfen und innerhalb weniger Stunden verwertbare Ergebnisse zu erzielen.
    Versuchen Sie Invicti
  • Web Scraping, Residential Proxy, Proxy Manager, Web Unlocker, Search Engine Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie Brightdata
  • Monday.com ist ein All-in-One-Betriebssystem, mit dem Sie Projekte, Aufgaben, Arbeit, Vertrieb, CRM, Arbeitsabläufe und vieles mehr verwalten können.
    Versuch Montag
  • Intruder ist ein Online-Schwachstellen-Scanner, der Schwachstellen in Ihrer Infrastruktur aufspürt, um kostspielige Datenschutzverletzungen zu vermeiden.
    Versuchen Sie Intruder