TLS 1.0 e 1.1 estão obsoletos; use 1.2 ou 1.3. Configure cifras fortes e desabilite SSLv3 e mais antigos. Teste com SSL Labs; ative HSTS. Mantenha certificados e bibliotecas atualizados.
Versões TLS
- TLS 1.2 e 1.3: Padrões atuais. TLS 1.3 é mais rápido e remove opções legadas. Prefira 1.3 onde suportado; permita 1.2 para clientes antigos.
- TLS 1.0 / 1.1: Obsoletos e desabilitados por muitos navegadores e compliance (ex.: PCI-DSS). Não habilite.
- SSLv3 e anteriores: Inseguros; desabilite em todo lugar.
Cifras
- Cifras fortes: Prefira AEAD (ex.: AES-GCM, ChaCha20-Poly1305); evite NULL, export ou cifras fracas.
- Config: No nginx, Apache ou app, defina ssl_protocols e ssl_ciphers. Mozilla SSL Config Generator é uma boa referência.
- Bibliotecas: Mantenha OpenSSL ou outras bibliotecas TLS atualizadas.
Teste e HSTS
- SSL Labs: Rode seu domínio em ssllabs.com para checar protocolo, cifras, cadeia de certificados e problemas comuns.
- HSTS: Ative Strict-Transport-Security para o navegador usar só HTTPS.
- Certificados: Renove antes do vencimento; use cadeia válida.
Resumo
Use apenas TLS 1.2/1.3; configure cifras fortes; desabilite SSLv3 e TLS antigos. Teste com SSL Labs; ative HSTS; mantenha certs e bibliotecas atualizados.
