====== Používání zastaralého SSL/TLS ======

Protokoly SSL a TLS jsou používány pro zašifrování spojení mezi serverem a klientem u mnoha protokolů, např. FTP, IMAP, HTTP, SMTP a mnoho dalších. Následující verze jsou zastaralé a není doporučeno je používat:

  * Použití SSL 2.0 bylo zakázáno v [[https://www.rfc-editor.org/rfc/rfc6176|RFC 6176]] v březnu 2011.
  * Použití SSL 3.0 bylo zavrženo v [[https://www.rfc-editor.org/rfc/rfc7568|RFC 7568]] v červnu 2015.
  * Použití TLS 1.0 a 1.1 bylo zavrženo v [[https://www.rfc-editor.org/rfc/rfc8996|RFC 8996]] v březnu 2021.

V současné době je bezpečné používat TLS verze 1.3.
S vypnutou podporou šifrovacich algoritmů [[https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar2.pdf|3DES]], [[https://www.rfc-editor.org/rfc/rfc4357|GOST]] a [[https://www.rfc-editor.org/rfc/rfc7465|RC4]] je možné bezpečně provozovat i starší TLS 1.2.

Vypnutí v //Apache//:

''SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1''

Vypnutí v //Nginx// (nginx.conf):

''ssl_protocols TLSv1.2 TLSv1.3;''

Vypnutí v //Postfix//:


  smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
  smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
  smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
  smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1


Vypnutí ve //vsftpd// je automatické od verze 3.0.4.

**Otestování**

Otestování lze provést pomocí [[https://testssl.sh/|testssl.sh]]. Pro SSL/TLS:

''testssl.sh -p [URL]:[port]''

Pro test STARTTLS je nutné specifikovat službu, která na portu běží:

''testssl.sh -p -t [ftp/smtp/lmtp/pop3/imap/sieve/xmpp/xmpp-server/telnet/ldap/nntp/postgres/mysql] [URL]:[port]''