Como ativar o TLS 1.3 no Apache no FreeBSD 12

• Exigências
• Antes de você começar
• Instale o cliente acme.sh e obtenha um certificado TLS em Let's Encrypt
• Instale o Apache
• Configurar o Apache para TLS 1.3

O TLS 1.3 é uma versão do protocolo TLS (Transport Layer Security) publicada em 2018 como um padrão proposto na RFC 8446 . Oferece melhorias de segurança e desempenho em relação aos seus antecessores.

Este guia demonstrará como habilitar o TLS 1.3 usando o servidor da web Apache no FreeBSD 12.

Exigências

• Instância do Vultr Cloud Compute (VC2) executando o FreeBSD 12.
• Um nome de domínio válido e registros DNS / A/ configurados corretamente para seu domínio.AAAACNAME
• Um certificado TLS válido. Obteremos um do Let's Encrypt.
• Versão Apache 2.4.36ou superior.
• Versão OpenSSL 1.1.1ou superior.

Antes de você começar

Verifique a versão do FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Verifique se o seu sistema FreeBSD está atualizado.

freebsd-update fetch install
pkg update && pkg upgrade -y

Instale os pacotes necessários se eles não estiverem presentes no seu sistema.

pkg install -y sudo vim unzip wget bash socat git

Crie uma nova conta de usuário com seu nome de usuário preferido (nós usaremos johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Execute o visudocomando e remova o comentário da %wheel ALL=(ALL) ALLlinha para permitir que os membros do wheelgrupo executem qualquer comando.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Agora, mude para o usuário recém-criado com su.

su - johndoe

NOTA: Substitua johndoepelo seu nome de usuário.

Configure o fuso horário.

sudo tzsetup

Instale o acme.shcliente e obtenha um certificado TLS em Let's Encrypt

Instale acme.sh.

sudo pkg install -y acme.sh

Verifique a versão.

acme.sh --version
# v2.7.9

Obtenha certificados RSA e ECDSA para o seu domínio.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

NOTA: Substitua example.comnos comandos pelo seu nome de domínio.

Crie diretórios sensatos para armazenar seus documentos e chaves. Nós usaremos /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Instale e copie certificados para /etc/letsencrypt.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Depois de executar os comandos acima, seus certificados e chaves estarão nos seguintes locais:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Instale o Apache

O Apache adicionou suporte ao TLS 1.3 na versão 2.4.36. O sistema FreeBSD 12 vem com Apache e OpenSSL que suportam o TLS 1.3 pronto para uso, portanto não há necessidade de criar uma versão personalizada.

Faça o download e instale a ramificação 2.4 mais recente do Apache através do pkggerenciador de pacotes.

sudo pkg install -y apache24

Verifique a versão.

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Inicie e ative o Apache.

sudo sysrc apache24_enable="yes"
sudo service apache24 start

Configurar o Apache para TLS 1.3

Agora que instalamos o Apache com sucesso, estamos prontos para configurá-lo para começar a usar o TLS 1.3 em nosso servidor.

NOTA: No FreeBSD, o mod_sslmódulo é ativado por padrão no pacote e na porta

Execute sudo vim /usr/local/etc/apache24/httpd.confe inclua o módulo SSL descomentando LoadModule ssl_module libexec/apache24/mod_ssl.so.

#LoadModule ssl_module libexec/apache24/mod_ssl.so

Execute sudo vim /usr/local/etc/apache24/Includes/example.com.confe preencha o arquivo com a seguinte configuração básica.

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

Salve o arquivo e saia com :+ W+ Q.

Verifique a configuração.

sudo service apache24 configtest

Recarregue o Apache.

sudo service apache24 reload

Abra seu site via protocolo HTTPS no seu navegador da web. Para verificar o TLS 1.3, você pode usar as ferramentas de desenvolvimento do navegador ou o serviço SSL Labs. As capturas de tela abaixo mostram a guia de segurança do Chrome com o TLS 1.3 em ação.

Você ativou com sucesso o TLS 1.3 no Apache no seu servidor FreeBSD. A versão final do TLS 1.3 foi definida em agosto de 2018, portanto, não há melhor momento para começar a adotar esta nova tecnologia.