web-dev-qa-db-fra.com

Comment forcer toutes les connexions à mon Apache à utiliser TLSv1.1 ou TLSv1.2?

J'ai testé sur Ubuntu 12.04 (Apache 2.2.22-1ubuntu1.4 et openssl 1.0.1-4ubuntu5.10) et Ubuntu 13.04 (Apache 2.2.22-6ubuntu5.1 et openssl 1.0.1c-4ubuntu8.1).

ici expliquer comment faire, mais j'ai les problèmes suivants:

Quand essayer d'utiliser:

SSLProtocol tout -SSLv2 -SSLv3 -TLSv1

J'ai eu l'erreur suivante:

[erreur] Aucun protocole SSL disponible [indice: SSLProtocol]

quand essayer d'utiliser:

SSLProtocol TLSv1.1 TLSv1.2

J'ai eu l'erreur suivante:

[erreur] Aucun protocole SSL disponible [indice: SSLProtocol]

La chose amusante est que quand j'utilise:

SSLProtocol tout -SSLv2 -TLSv1

Apache ne se plaint pas et ce test a signalé que mon serveur ne supportait pas SSLv2 et TLSv1.0, mais oui, SSLv3, TLSv1.1 et TLSv1.2.

Une explication à ce comportement étrange? peut-être que l'outil de test est cassé?

Comment puis-je activer uniquement TLSv1.1 et TLSv1.2?

2
gsi-frank

Définir SSLCipherSuite avec uniquement les chiffrements qui sont juste supportés dans TLSv1.2 contourner la limitation de Apache 2.2 de parse TLSv1.1 chaîne pour limiter TLS à la version plus de 1,0.

1
gsi-frank

Comment forcer toutes les connexions à mon Apache à utiliser TLSv1.1 ou TLSv1.2?

Vous ne pourrez peut-être pas les activer. L'équipe de sécurité Ubuntu désactive TLS 1.2. Je crois qu'ils ont désactivé TLS 1.1 dans le passé. Ils le font pour des raisons d'interopérabilité.

Je crois que vous avez trois choix.

Tout d'abord, ne faites rien et utilisez la version d'OpenSSL d'Ubuntu 12. Je pense que TLS 1.1 est maintenant supporté, mais vous n’avez toujours pas TLS 1.2.

Deuxièmement, construisez et maintenez votre propre PPA . Il existe quelques instructions pour le faire à Remplacer le paquet Distro par un paquet personnalisé? Pour être complet, il n’existe pas de Archives de paquets personnels pour Ubuntu et OpenSSL proposant les protocoles complets.

La troisième est la mise à niveau vers une version ultérieure d'Ubuntu, telle que Ubuntu 14. J'essaie de déterminer si Ubuntu 14 les permet toutes pour le moment. Voir Protocoles Ubuntu 14, OpenSSL et TLS? .

0
user207039