Princípios
- Desativar protocolos obsoletos (SSLv3, TLS 1.0/1.1).
- Usar TLS 1.2+ (preferível com TLS 1.3 quando suportado).
Apache — exemplo (intermediário moderno)
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite HIGH:!aNULL:!MD5:!3DES SSLHonorCipherOrder on # TLS 1.3 (se suportado) # SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
Nginx — exemplo (intermediário moderno)
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5:!3DES; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m;
Notas
- A compatibilidade com clientes antigos diminui à medida que você endurece as políticas.
- Teste sempre após alterações (produção e staging).
Próximos passos
Se precisar de um hardening específico para sua infraestrutura, abra um ticket no SAC NetHorizontes.