Как заставить все соединения с моим Apache использовать TLSv1.1 или TLSv1.2?
Я тестировал на Ubuntu 12.04 (apache 2.2.22-1ubuntu1.4 и openssl 1.0.1-4ubuntu5.10) и Ubuntu 13.04 (apache 2.2.22-6ubuntu5.1 и openssl 1.0.1c-4ubuntu8.1).
здесь объясните, как это сделать, но у меня есть следующие проблемы:
Когда попробуйте использовать:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
Я получил следующую ошибку:
[ошибка] Нет доступных протоколов SSL [подсказка: SSLProtocol]
когда попробуйте использовать:
SSLProtocol TLSv1.1 TLSv1.2
Я получил следующую ошибку:
[ошибка] Нет доступных протоколов SSL [подсказка: SSLProtocol]
Самое смешное, что при использовании:
SSLProtocol all -SSLv2 -TLSv1
apache не жалуется, и этот тест показал, что мой сервер не поддерживает SSLv2 и TLSv1.0, но да SSLv3, TLSv1.1 и TLSv1.2.
Есть какое-нибудь объяснение этому странному поведению? может быть, тестовый инструмент сломан?
Как я могу включить только TLSv1.1 и TLSv1.2?
2 ответа
Установка SSLCipherSuite только с шифрами, которые только поддерживаются в TLSv1.2, обходит ограничение Apache 2.2 для строки синтаксического анализа TLSv1.1 для ограниченного TLS до версии более 1.0.
Как заставить все соединения с моим Apache использовать TLSv1.1 или TLSv1.2?
Возможно, вы не сможете включить их. Команда безопасности Ubuntu отключает TLS 1.2. Я считаю, что они отключили TLS 1.1 в прошлом. Они делают это по причинам совместимости.
Я считаю, что у вас есть три варианта.
Во-первых, ничего не делайте и используйте версию OpenSSL для Ubuntu 12. Я считаю, что TLS 1.1 теперь поддерживается, но у вас все равно не будет TLS 1.2.
Во-вторых, создать и поддерживать свой собственный PPA. Есть некоторые инструкции для этого в Override Distro Package с Custom Package? Для полноты, не существует существующих архивов личных пакетов для Ubuntu и OpenSSL, которые предлагают полные протоколы.
В-третьих, это обновление до более поздней версии Ubuntu, например, Ubuntu 14. Я пытаюсь определить, поддерживает ли Ubuntu 14 их все в данный момент. Смотрите Ubuntu 14, OpenSSL и протоколы TLS?,