SSL Sürümlerini Sınırlama

SSL ve TLS'nin eski sürümlerinde güvenlik açıkları bulunduğundan, bu sürümler kullanımdan kaldırılmış olarak işaretlenmiştir ve artık kullanılmamalıdır. HAProxy ile SSL'nin yalnızca belirli sürümlerinin üzerinde anlaşmaya izin verebilirsiniz. Desteklemek istediğiniz en eski sürümü belirterek ssl-min-ver yönergesi ekleyin.

Aşağıdaki örnekte, yalnızca TLS sürüm 1.2 ve daha yenisine izin verilir:

frontend www.mysite.com
    bind 10.0.0.3:80
    bind 10.0.0.3:443 ssl crt /etc/ssl/certs/mysite.pem ssl-min-ver TLSv1.2
    http-request redirect scheme https unless { ssl_fc }
    default_backend web_servers

Bu parametre için değerler: https://github.com/haproxy/haproxy/blob/v2.1.0/src/ssl_sock.c#L128

SSLv3
TLSv1.0
TLSv1.1
TLSv1.2
TLSv1.3

Bunu, tüm bölümler için, gösterildiği gibi bir ssl-default-bind-options yönergesi biçiminde global bölümünüze ekleyerek ayarlayabilirsiniz:

global
    ssl-default-bind-options ssl-min-ver TLSv1.2

PreviousHTTP'den HTTPS'e yönlendirme NextSertifikaları Sınırlama

Last updated 4 years ago