Home Loại bỏ TLS 1.0 và TLS 1.1 khi dùng Traefik Ingress trên Kubernetes
Post
Cancel

Loại bỏ TLS 1.0 và TLS 1.1 khi dùng Traefik Ingress trên Kubernetes

Tính bảo mật của các phiên bản TLS

Vụ này thì hôm trước được hỏi mình cũng mới biết và tìm hiểu qua. Giao thức TLS có nhiều phiên bản từ 1.0 đến 1.3 và hiện nay thì hai phiên bản 1.0 và 1.1 đã không còn an toàn. Để bảo mật trang web và hệ thống thì ta cần loại bỏ hai phiên bản này và chỉ hỗ trợ từ 1.2 trở lên.

Tham khảo: https://www.digicert.com/blog/depreciating-tls-1-0-and-1-1

Làm như thế nào?

Để tắt TLS 1.0 và TLS 1.1, ta thực hiện nó bằng cách điều chỉnh cấu hình của web server. Bạn tham khảo bài viết sau:

Apache & Nginx: https://www.ssl.com/guide/disable-tls-1-0-and-1-1-apache-nginx/

Traefik: https://doc.traefik.io/traefik/https/tls/

Thực hiện với Traefik Ingress trên Kubernetes (K3S)

Để thực hiện tắt TLS 1.0 và TLS 1.1 trên Traefik Ingress của Kubernetes, ta thực hiện các bước sau:

Tạo TLSOption CRD (Custom resource definition) cho Traefik

1
2
3
4
5
6
7
8
9
apiVersion: traefik.containo.us/v1alpha1
kind: TLSOption
metadata:
  name: default # Tên này dùng default.
  namespace: default # Namespace chứa Ingress cần cấu hình

spec:
  minVersion: VersionTLS12
  maxVersion: VersionTLS13 # chỉ định nghĩa nếu muốn giới hạn phiên bản

Chú ý:

  • name của TLSOption đặt là default, mình chưa hiểu lắm tại sao đặt tên khác nó lại không hoạt động.
  • namespace: đặt chung với namespace của Ingress

Chỉ định TLSOption trong Ingress

1
traefik.ingress.kubernetes.io/router.tls.options: default@kubernetes
This post is licensed under CC BY 4.0 by the author.