Cómo actualizar cifrados y protocolos TLS

Cómo actualizar cifrados y protocolos TLS

Válido para las versiones 82 hasta la última versión


Última modificación: 30 de junio de 2021

Visión general

La mayoría de los servicios administrados por cPanel y WHM utilizan OpenSSL para proporcionar conexiones seguras entre el software del cliente y el servidor. Este documento enumera las interfaces en cPanel y WHM en las que puede ajustar los protocolos de OpenSSL y las pilas de cifrado para esos servicios.

Sobre OpenSSL

Nota:

cPanel & WHM utiliza la versión de OpenSSL proporcionada por el sistema operativo base.

OpenSSL tiene por defecto una configuración que maximiza la compatibilidad a expensas de la seguridad. OpenSSL permite dos configuraciones principales: cifrados y protocolos.

  • Un cifrado se refiere a un algoritmo de cifrado específico. Esta configuración permite al usuario habilitar o deshabilitar cifrados individualmente o por categoría.
  • Un protocolo se refiere a la forma en que el sistema utiliza cifrados. Esta configuración permite al usuario habilitar o deshabilitar protocolos individuales o categorías de protocolos.

La mayoría de los ataques contra SSL modifican los datos a medida que viajan entre el cliente y el servidor para detectar debilidades en cifrados específicos. Por ejemplo, el ataque CANICHE (CVE-2014-3566) apunta a las debilidades del protocolo SSLv3.

Configuración de cifrado

Importante:

  • Soportes cPanel y WHM Protocolo de seguridad de la capa de transporte (TLS) versión 1.2 y Protocolo de seguridad de la capa de transporte (TLS) versión 1.3:

    • A partir de cPanel y WHM versión 86, cPanel y WHM solamente admite TLSv1.2 o más reciente. El sistema también habilita TLSv1.2 de forma predeterminada.
    • No todos los navegadores o clientes de Internet admitirán TLSv1.3, que requiere OpenSSL 1.1.1 o superior.
  • Nosotros fuertemente recomiendo que lo hagas no ajuste la configuración de cifrado y protocolo para los servicios Exim y Dovecot si usa Windows® 7 o MacOS® versión 10.8 y anteriores. Los servidores de estos sistemas operativos fallan en los análisis de cumplimiento de PCI debido a vulnerabilidades de seguridad sin parche que existen en los siguientes clientes de correo:

    • Outlook® 2007
    • Outlook 2010
    • MacMail®

Puede encontrar la configuración de cifrado predeterminada de cPanel & WHM y los protocolos SSL en WHM Configuración de servicios web de cPanel interfaz (WHM >> Inicio >> Configuración de servicios >> Configuración de servicios web cPanel). Si su configuración no puede utilizar la configuración predeterminada para el protocolo SSL y las listas de cifrado, puede anularlas servicio por servicio.

Configurar cifrados y protocolos de servicio

La siguiente sección enumera las interfaces y opciones en cPanel y WHM que le permiten configurar el protocolo y las listas de cifrado para los servicios que usan OpenSSL. Para obtener información sobre un servicio específico, lea nuestro Supervisor documentación.

Nota:

Algunos servicios usan la cadena SSLv23 para representar lo que otros servicios llaman ALL para la lista de protocolos. La configuración de ejemplo a continuación demuestra esta diferencia servicio por servicio.

cPanel, WHM y Webmail

Puede configurar las interfaces cPanel, WHM y Webmail ‘(cpsrvd) cifrado de servicio y listas de protocolos con WHM Configuración de servicios web de cPanel interfaz (WHM >> Inicio >> Configuración de servicios >> Configuración de servicios web cPanel).

Esta interfaz utiliza el SSLv23:!SSLv2:!SSLv3:!TLSv1:!TLSv1_1 sintaxis del protocolo de estilo.

Disco web

Puede configurar el Disco web Servicio (cpdavd) Listas de cifrado y protocolo con WHM Configuración del disco web de cPanel interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración del disco web cPanel).

Esta interfaz utiliza el SSLv23:!SSLv2:!SSLv3:!TLSv1:!TLSv1_1 sintaxis del protocolo de estilo.

Palomar

Puede configurar el servicio de correo Dovecot (imap y pop3) Listas de cifrado y protocolo con WHM Configuración del servidor de correo interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración del servidor de correo).

Para los protocolos, esta interfaz acepta una cadena que implica ALL por defecto. Por ejemplo, el !SSLv2 !SSLv3 cuerda.

apache

Puede configurar el servicio web Apache® (httpd) cifrado y protocolo WHM’s configuración global interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración de Apache >> Configuración global).

Esta interfaz acepta un protocolo que se asemeja al All -SSLv2 -SSLv3 cuerda.

Nota:

Si el protocolo SSL seleccionado o la versión de OpenSSL que usa EasyApache 4 no no admite un cifrado, el sistema mostrará un mensaje de error.

Exim

Puede configurar el servicio Exim (exim) listas de cifrado y protocolo con el Editor básico sección de la Administrador de configuración de Exim interfaz (WHM >> Inicio >> Configuración del servicio >> Administrador de configuración de Exim).

  • Para cifrados, use el Lista de conjuntos de cifrado SSL / TLS caja de texto.
  • Para protocolos, use el Opciones para OpenSSL caja de texto. La lista de protocolos acepta configuraciones específicas de Exim. Por ejemplo, +no_sslv2 +no_sslv3.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *