Как заставить все соединения с моим Apache использовать TLSv1.1 или TLSv1.2?
Я тестировал Ubuntu 12.04 (apache 2.2.22-1ubuntu1.4 и openssl 1.0.1-4ubuntu5.10) и Ubuntu 13.04 (apache 2.2.22-6ubuntu5.1 и openssl 1.0.1c-4ubuntu8.1).
здесь объясняют, как это сделать, но у меня есть следующие проблемы:
При попытке использовать:
SSLProtocol all -SSLv2 -SSLv3 - TLSv1
Я получил следующую ошибку:
[ошибка] Нет доступных протоколов SSL [подсказка: SSLProtocol]
при попытке использовать:
SSLProtocol TLSv1.1 TLSv1.2
Я получил следующую ошибку:
[error] Нет протоколов SSL доступно [подсказка: SSLProtocol]
Забавно, что при использовании:
SSLProtocol all -SSLv2 -TLSv1
apache не жалуются, и этот тест сообщил, что мой сервер не поддерживает SSLv2 и TLSv1.0, но да SSLv3, TLSv1.1 и TLSv1.2.
Есть какое-нибудь объяснение этому странному поведению? может быть, инструмент тестирования не работает?
Как я могу включить только TLSv1.1 и TLSv1.2?
2 ответа
Установка SSLCipherSuite только с шифрами, которые только что поддерживаются в TLSv1.2 , обходит ограничение Apache 2.2 строки синтаксического анализа TLSv1.1 для ограниченного TLS до версии более 1,0.
Как заставить все подключения к моему Apache использовать TLSv1.1 или TLSv1.2?
Возможно, вы не сможете их включить. Команда безопасности Ubuntu отключает TLS 1.2. Я считаю, что они отключили TLS 1.1 в прошлом. Они делают это по причинам совместимости.
Я полагаю, у вас есть три варианта.
Во-первых, ничего не делайте и используйте версию OpenSSL для Ubuntu 12. Я считаю, что TLS 1.1 теперь поддерживается, но у вас все еще не будет TLS 1.2.
Во-вторых, постройте и поддерживайте свой собственный PPA . Есть некоторые инструкции для этого в Переопределить пакет Distro с пользовательским пакетом? Для полноты, не существует существующих архивов личных пакетов для Ubuntu и OpenSSL , которые предлагают полные протоколы.
В-третьих, это обновление до более поздней версии Ubuntu, например, Ubuntu 14. Я пытаюсь определить, поддерживает ли Ubuntu 14 их все в данный момент. См. Ubuntu 14, OpenSSL и TLS Protocols? .