Настройка tls безопасности для входящих сообщений электронной почты

Настройка сертификата для SSL/TLS и доступных протоколов

Перед использованием подключения SSL/TLS настройте сертификат на своем устройстве с помощью веб-интерфейса управления.

Веб-мастерам и администраторам серверов крайне важно быть в курсе новейших протоколов и технологий. Одной из таких технологий является Transport Layer Security (сокращённо — TLS) 1.3 — последняя версия протокола, обеспечивающего безопасное взаимодействие в компьютерной сети.

TLS 1.3 имеет ряд улучшений по сравнению со своим предшественником TLS 1.2, включая повышенную безопасность и более быстрое время соединения. Однако его включение требует тщательной настройки веб-сервера. Если вы используете Apache или Nginx, то в этом руководстве мы пошагово рассмотрим процесс включения TLS 1.3 в Apache и Nginx на двух популярных дистрибутивах Linux (Ubuntu и CentOS).

Прежде чем перейдём к рассмотрению данного руководства, необходимо отметить, что оно предполагает, что вы обладаете базовым пониманием интерфейса командной строки Linux и знакомы с администрированием веб-серверов. Кроме того, на вашем сервере Ubuntu или CentOS уже должны быть установлены Apache или Nginx.

Помните, что тип выбранного хостинга также может повлиять на производительность сервера. Будь то выделенный сервер, VPS-сервер, облачный или виртуальный хостинг, каждый из них имеет свои преимущества и особенности.

Теперь давайте приступим к включению TLS 1.3 на вашем сервере Apache или Nginx.

Как изменить версию TLS для новых сайтов

Для создания сайтов с актуальной версией TLS добавьте соответствующий параметр SSLSecureProtocols со значением в конфигурационный файл ispmgr.conf через терминал сервера.

Например, для использования на сайтах TLSv1.2 и TLSv1.3 (на ОС c OpenSSL версии 1.1.1 или выше) добавьте в:

Параметр со значением:

SSLSecureProtocols TLSv1.2 TLSv1.3

Будут использованы все указанные версии TLS.

И выполните перезагрузку панели командой:

/usr/local/mgr5/sbin/mgrctl -m ispmgr -R

После этого файлы конфигурации Nginx и Apache от сайтов будут создаваться с указанными версиями TLS.

Изменение версии TLS для существующих сайтов

Для доступа к сайту по необходимому протоколу отредактируйте конфигурационный файл через терминал сервера или через панель из-под учётной записи администратора сервера.

Отключить устаревшее TLS для определённого сайта нельзя, необходимо это сделать для всего сервера. Отключение произойдет, если у всех сайтов на сервере изменить значение TLS в файлах конфигурации.

Действия в терминале

Например, для использования только TLSv1.2 и TLSv1.3 (если поддерживается в OpenSSL) укажите в:

ssl_protocols TLSv1.2 TLSv1.3;

И выполните перезагрузку веб-сервера:

service nginx restart service apache2 restart (Debian-based ОС) service httpd restart (Centos-based ОС)

Действия в панели

При отключении старых TLS устройства с устаревшими браузерами не смогут открыть ваши сайты.

Настройка режима TLS-безопасности в Kaspersky Secure Mail Gateway

Чтобы настроить режим TLS-безопасности для ситуации, когда Kaspersky Secure Mail Gateway принимает сообщения от другого сервера (выступает в роли Сервера), выполните следующие действия:

1. Используйте режим TLS-безопасности для приема и отправки сообщений.

2. Настройте режимы TLS-безопасности для приема и отправки сообщений.

3. Убедитесь, что TLS 1.2 и TLS 1.3 установлены на вашем сервере Windows.

4. Отключите слабые протоколы безопасности, такие как TLS 1.1, TLS 1.0, SSL 3.0 и более ранние.

5. После настройки протоколов безопасности через реестр, управляйте ими в документации.

Настройка протоколов безопасности

Протоколы безопасности настраиваются через реестр. Для каждого протокола есть своя ветка реестра. Настройки протоколов можно изменить следующим образом:

Настройка параметров:

1. Измените параметр DefaultSecureProtocols для протоколов на WinHttp API.
2. Управляйте эллиптическими кривыми в параметрах.
3. Отключите использование MD5 шифрования.
4. Настройте размер пула потоков для TLS рукопожатий в HTTP.SYS.

Управление протоколами

Ниже приведены команды для управления протоколами:

• Включить TLS 1.0
• Отключить TLS 1.0
• Отключить TLS 1.0 через PowerShell
• Включить TLS 1.1
• Отключить TLS 1.1
• Отключить TLS 1.1 через PowerShell

Если вы предпочитаете использовать утилиту IIS Crypto, она поможет вам с легкостью настроить протоколы безопасности.

Групповые политики

Если вам необходимо использовать групповые политики, используйте политику реестра, так как специальных настроек для TLS в GPO нет.

Вопросы и ответы

Если у вас возникли вопросы о настройке TLS-безопасности, обратитесь к документации. Вам необходимо управлять протоколами для обеспечения безопасности обмена сообщениями.

Обновление системы

При обновлении системы на CentOS, убедитесь, что версии Apache и OpenSSL поддерживают TLS 1.3. Выполните следующие шаги:

1. Обновите системные пакеты с помощью команд yum update и yum upgrade.

2. Проверьте версии Apache и OpenSSL с помощью команд httpd и openssl version.

3. Если версии ниже 2.4.36 или 1.1.1 соответственно, обновите их.

Настройка Apache на использование TLS 1.3

В случае необходимости обновления Apache и OpenSSL на CentOS, выполните команды:

• Для обновления Apache: yum httpd
• Для обновления OpenSSL: yum openssl

Включение TLS 1.3 в Apache на CentOS

После того как вы убедились, что ваши версии Apache и OpenSSL поддерживают TLS 1.3, необходимо настроить Apache на его использование. Откройте файл конфигурации Apache в текстовом редакторе. Расположение этого файла может зависеть от вашей конфигурации, но обычно он находится по адресу /etc/httpd/conf/httpd.conf.

Вы можете открыть его с помощью текстового редактора nano следующим образом:

nano /etc/httpd/conf/httpd.conf

Найдите строку, определяющую используемые протоколы, и установите ее как:

Protocols h2 http/1.1

Эта строка указывает Apache использовать протоколы HTTP/2 и HTTP/1.1.

Сохраните и закройте файл после завершения работы.

Перезапуск Apache

Наконец, для того чтобы изменения вступили в силу, необходимо перезапустить Apache. Это можно сделать с помощью следующей команды:

systemctl restart httpd

Поздравляем! Вы успешно включили TLS 1.3 в Apache на CentOS.

Включение TLS 1.3 в Nginx на Ubuntu

Теперь, когда мы рассмотрели Apache, перейдем к включению TLS 1.3 в Nginx на Ubuntu.

Проверка версии Nginx и OpenSSL

Начните с обновления системных пакетов на Ubuntu:

sudo apt update
sudo apt upgrade

Далее проверьте версии Nginx и OpenSSL на предмет поддержки TLS 1.3. Выполните следующие команды:

nginx -v
openssl version

Если версия Nginx ниже 1.13.0 или версия OpenSSL ниже 1.1.1, то их необходимо обновить.

Обновление Nginx и OpenSSL (при необходимости)

Если необходимо обновить Nginx, выполните команду:

sudo apt install nginx

Настройка Nginx на использование TLS 1.3

Убедившись, что версии Nginx и OpenSSL поддерживают TLS 1.3, необходимо настроить Nginx на его использование. Откройте файл конфигурации Nginx в текстовом редакторе. Расположение этого файла может зависеть от вашей конфигурации, но обычно он находится по адресу /etc/nginx/nginx.conf. Вы можете открыть его с помощью текстового редактора nano следующим образом:

nano /etc/nginx/nginx.conf

Найдите секцию ssl_protocols и обновите ее следующим образом:

ssl_protocols TLSv1.2 TLSv1.3;

После завершения работы сохраните и закройте файл.

Перезапуск Nginx

Наконец, необходимо перезапустить Nginx, чтобы изменения вступили в силу. Это можно сделать с помощью следующей команды:

systemctl restart nginx

Поздравляем! Вы успешно включили TLS 1.3 в Nginx на Ubuntu.

Включение TLS 1.3 в Nginx на CentOS

Наконец, рассмотрим, как включить TLS 1.3 в Nginx на CentOS.

Начните с обновления системных пакетов. В CentOS это можно сделать с помощью следующих команд:

yum update
yum install nginx

Поздравляем! Вы успешно включили TLS 1.3 в Nginx на CentOS.

После того как вы убедились, что ваши версии Apache и OpenSSL поддерживают TLS 1.3, необходимо настроить Apache на его использование. Откройте файл конфигурации Apache в текстовом редакторе. Расположение этого файла может зависеть от вашей конфигурации, но обычно он находится по адресу /etc/apache2/apache2.conf. Вы можете открыть его с помощью текстового редактора nano следующим образом:

systemctl restart apache2

Поздравляем! Вы успешно включили TLS 1.3 в Apache на Ubuntu.

## Упомянутые команды

На протяжении всего руководства мы использовали несколько команд для обновления системных пакетов, проверки и обновления версий Apache, Nginx и OpenSSL, а также для настройки и перезапуска веб-серверов. Ниже приведено краткое описание каждой команды:

## Заключение

В этом подробном руководстве мы рассмотрели процесс включения TLS 1.3 в Apache и Nginx на Ubuntu и CentOS. Выполнив эти шаги, вы сможете убедиться, что ваш веб-сервер использует самую последнюю и наиболее безопасную версию протокола TLS, что повысит безопасность и производительность вашего сайта.

Помните, что поддержание безопасной и эффективной работы веб-сервера требует постоянных усилий. Важно регулярно обновлять программное обеспечение сервера и быть в курсе последних протоколов и технологий безопасности. Независимо от того, используете ли вы Apache, Nginx или другой веб-сервер, размещаете ли вы свой сервер на выделенном сервере, VPS-сервере, облачном или виртуальном хостинге, поддержание программного обеспечения сервера в актуальном состоянии является одним из наиболее эффективных способов защиты от угроз безопасности.

Мы надеемся, что данное руководство оказалось полезным. Если у вас возникнут дополнительные вопросы, обращайтесь к нам.