Làm cách nào để tắt TLS 1.0 và TLS 1.1 trên Nginx Server?

Các tổ chức nên tắt TLS 1.0 và TLS 1.1 trên máy chủ Nginx của họ để đảm bảo mức độ bảo mật cao nhất và bảo vệ dữ liệu đang được gửi qua mạng của họ.

Hiểu hơn về TLS vui lòng tham khảo bài viết sau: TLS là gì? Các phiên bản và những hạn chế

Có một số lý do tại sao bạn nên tắt TLS 1.0 và TLS 1.1 trên Máy chủ Nginx của mình:

1. TLS 1.0 và TLS 1.1 không còn được coi là an toàn do thực tế là chúng dễ bị tấn công, chẳng hạn như tấn công POODLE (Đệm Oracle trên mã hóa di sản bị hạ cấp), có thể cho phép kẻ tấn công chặn và giải mã thông tin nhạy cảm được truyền qua Internet.

2. Một lý do khác để tắt TLS 1.0 và TLS 1.1 là các phiên bản TLS mới hơn, chẳng hạn như TLS 1.2 và TLS 1.3 , cung cấp bảo mật và hiệu suất được cải thiện so với các phiên bản cũ hơn. Bằng cách sử dụng các phiên bản mới hơn, bạn có thể tận dụng các tính năng và giao thức bảo mật mới nhất để bảo vệ máy chủ và người dùng của mình.

Vô hiệu hóa TLS 1.0 và TLS 1.1 trên máy chủ Nginx của bạn là một bước bảo mật quan trọng vì các giao thức mã hóa cũ hơn này được coi là không an toàn và có một số lỗ hổng đã biết. Bằng cách vô hiệu hóa chúng, bạn có thể giúp bảo vệ máy chủ của mình khỏi các tác nhân độc hại đang tìm cách khai thác những điểm yếu này.

Để tắt TLS 1.0 và TLS 1.1 trên máy chủ Nginx của bạn, bạn cần chỉnh sửa tệp cấu hình Nginx. Vị trí của tệp này có thể khác nhau tùy thuộc vào thiết lập của bạn. Nếu bạn chưa cấu hình các Server Blocks (Virtual Hosts) trên Nginx, thì tệp cấu hình thường được đặt tại  /etc/nginx/nginx.conf  hoặc  /etc/nginx/conf.d/ssl.conf

Trên server ví dụ này, chúng tôi cấu hình nhiều Server Blocks (Virtual Hosts), file cấu hình nằm tại /etc/nginx/sites-available/domain.com

Dùng lệnh sau để mở file cấu hình:

$ sudo nano /etc/nginx/sites-available/domain.com

Tìm dòng: ‘ssl_protocols’ xóa ‘TLSv1.0 TLSv1.1’ nếu có và lưu lại.

Restart lại dịch vụ nginx

$ sudo systemctl restart nginx

Kiểm tra cấu hình Nginx.

$ sudo nginx -t