TLS1.2 jest teraz dostępny dla Apache, aby dodać TLS 1.2, wystarczy dodać w konfiguracji wirtualnego hosta https:
SSLProtocol -all +TLSv1.2
-all
usuwa inny protokół ssl (SSL 1,2,3 TLS1)
+TLSv1.2
dodaje TLS 1.2
dla większej kompatybilności przeglądarki możesz użyć
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
przy okazji, możesz także zwiększyć pakiet Cipher, używając:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
Możesz przetestować bezpieczeństwo swojej witryny https za pomocą skanera internetowego, takiego jak:
https://www.ssllabs.com/ssltest/index.html
Skompiluj apache z najnowszą wersją OpenSSL, aby włączyć TLSv1.1 i TLSv1.2
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
źródło
Według dziennika zmian OpenSSL obsługa TLS 1.2 została dodana do gałęzi programistycznej OpenSSL 1.0.1, ale ta wersja nie została jeszcze wydana. Prawdopodobnie pewne zmiany będą również potrzebne w kodzie mod_ssl, aby faktycznie włączyć TLS 1.2 dla Apache.
Inną powszechnie używaną biblioteką SSL / TLS jest NSS ; jest używany przez mniej znany moduł Apache mod_nss ; niestety obecne wersje NSS również nie obsługują TLS 1.2.
Jeszcze inną biblioteką SSL / TLS jest GnuTLS i udaje, że obsługuje TLS 1.2 już w bieżącej wersji. Istnieje moduł Apache wykorzystujący GnuTLS: mod_gnutls , który również twierdzi, że obsługuje TLS 1.2. Jednak ten moduł wydaje się być dość nowy i może nie być bardzo stabilny; Nigdy nie próbowałem tego użyć.
źródło
Nie możesz, OpenSSL nie oferuje jeszcze wersji dla TLS 1.1.
Jeden trafny komentarz do /. w przypadku tego problemu:
http://it.slashdot.org/comments.pl?sid=2439924&cid=37477890
źródło
Adam Langley, inżynier Google Chrome, zwraca uwagę, że TLS 1.1 nie rozwiązałby tego problemu z powodu problemu z implementacją protokołu SSLv3, nad którym wszyscy muszą się obejść: przeglądarki muszą przejść na wersję SSLv3, aby obsługiwać błędne serwery, a osoba atakująca może to zainicjować nachylenie.
http://www.imperialviolet.org/2011/09/23/chromeandbeast.html
źródło
Gnu_tls działa jak urok, a także implementuje SNI (Server Name Identification), co jest bardzo przydatne w wirtualnym hostingu ....
Nie ma problemu również znaleźć pakiety bin dla mod_gnutls w dystrybucjach Linuksa, używam go od 2 lat i nie ma problemów, jest również bardziej wydajny niż openssl imho.
Problem polega jednak na tym, że większość przeglądarek nie obsługuje tls 1.1 lub 1.2, więc zacznij rozpowszechniać pomysł regularnego uaktualniania przeglądarek dla ludzi.
źródło