it-swarm.com.ru

Как заставить все соединения с моим Apache использовать TLSv1.1 или TLSv1.2?

Я тестировал на Ubuntu 12.04 (Apache 2.2.22-1ubuntu1.4 и openssl 1.0.1-4ubuntu5.10) и Ubuntu 13.04 (Apache 2.2.22-6ubuntu5.1 и openssl 1.0.1c-4ubuntu8.1).

здесь объясните, как это сделать, но у меня есть следующие проблемы:

Когда попробуйте использовать:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1

Я получил следующую ошибку:

[ошибка] Нет доступных протоколов SSL [подсказка: SSLProtocol]

когда попробуйте использовать:

SSLProtocol TLSv1.1 TLSv1.2

Я получил следующую ошибку:

[ошибка] Нет доступных протоколов SSL [подсказка: SSLProtocol]

Самое смешное, что при использовании:

SSLProtocol all -SSLv2 -TLSv1

Apache не жалуется и этот тест сообщил, что мой сервер не поддерживает SSLv2 и TLSv1.0, но да, SSLv3, TLSv1.1 и TLSv1.2.

Есть какое-нибудь объяснение этому странному поведению? может быть, тестовый инструмент сломан?

Как я могу включить только TLSv1.1 и TLSv1.2?

2
gsi-frank

Установка SSLCipherSuite только с теми шифрами, которые только поддерживаются в TLSv1.2, обходит ограничение Apache 2.2 для синтаксического анализа TLSv1.1 для ограниченной TLS до версии более 1,0.

1
gsi-frank

Как заставить все соединения с моим Apache использовать TLSv1.1 или TLSv1.2?

Возможно, вы не сможете включить их. Команда безопасности Ubuntu отключает TLS 1.2. Я считаю, что они отключили TLS 1.1 в прошлом. Они делают это по причинам совместимости.

Я считаю, что у вас есть три варианта.

Во-первых, ничего не делайте и используйте версию OpenSSL для Ubuntu 12. Я считаю, что TLS 1.1 теперь поддерживается, но у вас все равно не будет TLS 1.2.

Во-вторых, создайте и поддерживайте свои собственные PPA . Для этого есть некоторые инструкции: Переопределить пакет Distro с помощью пользовательского пакета? Для полноты, не существует Личные архивы пакетов для Ubuntu и OpenSSL , которые предлагают полные протоколы.

В-третьих, это обновление до более поздней версии Ubuntu, например, Ubuntu 14. Я пытаюсь определить, поддерживает ли Ubuntu 14 их все в данный момент. Смотрите buntu 14, OpenSSL и протоколы TLS? .

0
user207039