¿Cómo habilitar TLS 1.3 en Apache, Nginx y Cloudflare?

Una guía paso a paso para habilitar la última versión y probar el protocolo TLS 1.3

Antes del procedimiento de implementación, echemos un vistazo a qué es TLS 1.3, en qué se diferencia de 1.2, historia y compatibilidad.

¿Qué es TLS 1.3?

TLS (seguridad de la capa de transporte) 1.3 se basa en las especificaciones 1.2 existentes. Es la última versión del protocolo TLS y su objetivo es mejorar el rendimiento y la seguridad.

Para saber más, consulte este post de Filippo.

Echemos un vistazo a la historia del protocolo TLS.

El protocolo TLS puede habilitarse en servidores web, CDN, balanceadores de carga y dispositivos de borde de red.

Compatibilidad del navegador TLS 1.3

1.3 aún no es compatible con todos los navegadores. Actualmente, sólo funciona con la última versión de Chrome, Firefox, Opera e iOS Safari. Si desea implementarlo en cuanto sea compatible con todos los navegadores, marque esta página de CanIUse. Teniendo en cuenta que aún se encuentra en una fase temprana, es posible que desee habilitar la versión 1.3 junto con las versiones anteriores 1.2 y 1.1.

Consulte cómo habilitarla en el navegador.

Aquí tiene los análisis TLS de Geekflare. Como puede ver, más del 70% de las peticiones sobre TLS 1.3.

Habilitar TLS 1.3 en Nginx

TLS 1.3 es compatible a partir de la versión Nginx 1.13. Si está ejecutando la versión anterior, entonces primero, tiene que actualizar.

Asumo que tiene Nginx 1.13

Inicie sesión en el servidor Nginx
Tome una copia de seguridad del archivo nginx . conf
Modifique nginx.conf usando vi o su editor favorito

La configuración por defecto en la configuración SSL debe tener este aspecto

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Añada TLSv1. 3 al final de la línea, y así quedará como sigue

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

Nota: la configuración anterior permitirá TLS 1/1.1/1.2/1.3. Si desea habilitar el seguro TLS 1.2/1.3, entonces su configuración deberá tener este aspecto.

ssl_protocols TLSv1.2 TLSv1.3;

Reinicie el Nginx

service nginx restart

Es fácil. ¿No lo es?

Habilitar TLS 1.3 en Apache

A partir de Apache HTTP 2.4.38, puede aprovechar las ventajas de TLS 1.3. Si todavía está utilizando la versión anterior, entonces tiene que pensar en actualizarla primero.

La configuración es fácil y similar a como se habilita el protocolo TLS 1.2 o 1.1.

Echemos un vistazo…

Inicie sesión en el servidor HTTP Apache y tome una copia de seguridad o del archivo ssl.conf o donde tenga la configuración SSL
Localice la línea SSLProtocol y añada TLSv1. 3 al final de la línea

Ej: lo siguiente permitiría TLS 1.2 y TLS 1.3

SSLProtocol -all TLSv1.2 TLSv1.3

Guarde el archivo y reinicie Apache HTTP

Cloudflare

Uno de los primeros proveedores de CDN en implementar la compatibilidad con TLS 1.3. Cloudflare lo habilita por defecto para todos los sitios web.

Sin embargo, si necesita desactivarlo o comprobarlo, a continuación le indicamos cómo puede hacerlo.

Inicie sesión en Cloudflare
Vaya a la pestaña SSL/TLS >> Certificados Edge
Desplácese un poco hacia abajo y verá la opción TLS 1.3

¿Qué otras plataformas admiten TLS 1.3?

Tengo conocimiento de las siguientes CDN

CDN 77 – Recientemente, han anunciado soportar desde algunos de sus POP (punto de presencia).
AKAMAI – AKAMAI ha activado la versión beta en toda la red.

¿Cómo verificar que el sitio utiliza TLS 1.3?

Una vez que haya implementado a través de un servidor web o CDN, a continuación, desea asegurarse de que su sitio es handshaking sobre el protocolo TLS 1.3.

Existen múltiples formas de comprobarlo.

Geekflare TLS Test – averigüe rápidamente la versión TLS soportada.

SSLLabs – introduzca su URL HTTPS y desplácese hacia abajo en la página de resultados de la prueba.

Verá qué protocolos están habilitados.

Google Chrome – si está habilitando en sitios de intranet, entonces puede probarlo directamente desde el navegador Chrome.

Inicie Chrome
Abra Herramientas para desarrolladores
Vaya a la pestaña Seguridad
Acceda a la URL HTTPS
Lado izquierdo, seleccione el origen principal para ver el protocolo

¡Y ya está!

Teniendo en cuenta que TLS 1.3 es todavía nuevo, puede implementarlo en su sitio web pero no olvide mantener habilitada la versión anterior. Tener TLS 1.1, 1.2 habilitado asegurará que el cliente (navegadores) pueda conectarse a través de otras versiones de protocolo si no son compatibles con 1.3

Espero que esto le dé una idea sobre la implementación del último protocolo TLS para ofrecer una mejor seguridad en su sitio web.

Chandan Kumar
Colaborador
- LinkedIn
Chandan Kumar is a technology enthusiast and entrepreneur who is passionate about helping businesses and individuals around the world. As the founder of Geekflare, Chandan has created valuable content and resources for businesses and individuals around the world.

Chandan’s expertise spans many technological domains, including cybersecurity, cloud computing, artificial intelligence, IT infrastructure, and DevOps. His insights and advice have helped organizations like BNP Paribas, Citibank, Deutsche Bank, Motorola navigate the ever-evolving digital landscape and achieve their strategic goals.

Beyond his technical prowess, Chandan believes strongly in the importance of education and knowledge sharing. His dedication to technology and education has earned him recognition as a thought leader in the industry. He wants to travel the world and help professionals and businesses grow.

Expertise: Business Growth, Business Software, Digital Growth, Cybersecurity, Artificial Intelligence, IT Infrastructure
Education: MBA in International Business from Arcadia University