Como ativar o TLS 1.3 no Apache no Fedora 30

• Exigências
• Antes de você começar
• Instale o cliente acme.sh e obtenha um certificado TLS em Let's Encrypt
• Instale o Apache
• Configurar o Apache para TLS 1.3

O TLS 1.3 é uma versão do protocolo TLS (Transport Layer Security) publicada em 2018 como um padrão proposto na RFC 8446. Oferece melhorias de segurança e desempenho em relação aos seus antecessores.

Este guia demonstrará como habilitar o TLS 1.3 usando o servidor Apache no Fedora 30.

Exigências

• Instância do Vultr Cloud Compute (VC2) executando o Fedora 30.
• Um nome de domínio válido e registros DNS / A/ configurados corretamente para seu domínio.AAAACNAME
• Um certificado TLS válido. Obteremos um do Let's Encrypt.
• Versão Apache 2.4.36ou superior.
• Versão OpenSSL 1.1.1ou superior.

Antes de você começar

Verifique a versão do Fedora.

cat /etc/fedora-release
# Fedora release 30 (Thirty)

Crie uma nova non-rootconta de usuário com sudoacesso e mude para ela.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

NOTA: Substitua johndoepelo seu nome de usuário.

Configure o fuso horário.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Verifique se o seu sistema está atualizado.

sudo dnf check-upgrade || sudo dnf upgrade -y

Instale os pacotes necessários.

sudo dnf install -y socat git

Desative o SELinux e o Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Instale o acme.shcliente e obtenha um certificado TLS em Let's Encrypt

Instale acme.sh.

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Verifique a versão.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Obtenha certificados RSA e ECDSA para o seu domínio.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

NOTA: Substitua example.comnos comandos pelo seu nome de domínio.

Crie diretórios sensatos para armazenar seus documentos e chaves. Nós usaremos /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Instale e copie certificados para /etc/letsencrypt.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Depois de executar os comandos acima, seus certificados e chaves estarão nos seguintes locais:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Instale o Apache

O Apache adicionou suporte ao TLS 1.3 na versão 2.4.36. O sistema Fedora 30 vem com Apache e OpenSSL que suportam o TLS 1.3 pronto para uso, portanto, não há necessidade de criar uma versão personalizada.

Baixe e instale a filial 2.4 mais recente do Apache e seu módulo para SSL através do dnfgerenciador de pacotes.

sudo dnf install -y httpd mod_ssl

Verifique a versão.

sudo httpd -v
# Server version: Apache/2.4.39 (Fedora)
# Server built:   May  2 2019 14:50:28

Inicie e ative o Apache.

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

Configurar o Apache para TLS 1.3

Agora que instalamos o Apache com sucesso, estamos prontos para configurá-lo para começar a usar o TLS 1.3 em nosso servidor.

Execute sudo vim /etc/httpd/conf.d/example.com.confe preencha o arquivo com a seguinte configuração básica.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

Salve o arquivo e saia.

Verifique a configuração.

sudo apachectl configtest

Recarregue o Apache para ativar a nova configuração.

sudo systemctl reload httpd.service

Abra seu site via protocolo HTTPS no seu navegador da web. Para verificar o TLS 1.3, você pode usar as ferramentas de desenvolvimento do navegador ou o serviço SSL Labs. As capturas de tela abaixo mostram a guia de segurança do Chrome com o TLS 1.3 em ação.

Você ativou o TLS 1.3 com sucesso no Apache no seu servidor Fedora 30. A versão final do TLS 1.3 foi definida em agosto de 2018, portanto, não há melhor momento para começar a adotar esta nova tecnologia.