====== Používání zastaralého SSL/TLS ======

Protokoly SSL a TLS jsou používány pro zašifrování spojení mezi serverem a klientem u mnoha protokolů, např. FTP, IMAP, HTTP, SMTP a mnoho dalších. Následující verze jsou zastaralé a není doporučeno je používat:

  * Použití SSL 2.0 bylo zakázáno v [[https://www.rfc-editor.org/rfc/rfc6176|RFC 6176]] v březnu 2011.
  * Použití SSL 3.0 bylo zavrženo v [[https://www.rfc-editor.org/rfc/rfc7568|RFC 7568]] v červnu 2015.
  * Použití TLS 1.0 a 1.1 bylo zavrženo v [[https://www.rfc-editor.org/rfc/rfc8996|RFC 8996]] v březnu 2021.

V současné době je bezpečné používat TLS verze 1.3. S vypnutou podporou šifrovacich algoritmů [[https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar2.pdf|3DES]], [[https://www.rfc-editor.org/rfc/rfc4357|GOST]] a [[https://www.rfc-editor.org/rfc/rfc7465|RC4]] je možné bezpečně provozovat i starší TLS 1.2.

**Apache**:

<code apache website.conf>
SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
</code>

**Nginx**:

<code nginx ssl.conf>
ssl_protocols           TLSv1.2 TLSv1.3;
</code>

//**Postfix**//:

<code ini main.cf>
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
</code>

Vypnutí ve **vsftpd** je automatické od verze 3.0.4.

**Otestování**

Otestování lze provést pomocí [[https://testssl.sh/|testssl.sh]]. Pro SSL/TLS:

''testssl.sh -p [URL]:[port]''

Pro test STARTTLS je nutné specifikovat službu, která na portu běží:

''testssl.sh -p -t [ftp/smtp/lmtp/pop3/imap/sieve/xmpp/xmpp-server/telnet/ldap/nntp/postgres/mysql] [URL]:[port]''