У світлі зростаючої кількості питань безпеки, таких як нещодавно оголошений браузер Exploit Against SSL / TLS (BEAST), мені було цікаво, як ми могли б піти на те, щоб включити TLS 1.1 та 1.2 за допомогою OpenSSL та Apache, щоб гарантувати, що ми не будемо вразливими до таких векторів загрози.
Відповіді:
TLS1.2 тепер доступний для apache, щоб додати TLSs1.2, вам просто потрібно додати в конфігурацію віртуального хоста https:
SSLProtocol -all +TLSv1.2
-all видаляє інший протокол ssl (SSL 1,2,3 TLS1)
+TLSv1.2 додає TLS 1.2
для більшої сумісності браузера, яку ви можете використовувати
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
до речі, ви також можете збільшити набір Cipher, використовуючи:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
Ви можете перевірити безпеку свого веб-сайту https за допомогою веб-сканера на зразок: https://www.ssllabs.com/ssltest/index.html
Скомпілюйте apache з останньою версією OpenSSL, щоб увімкнути TLSv1.1 і TLSv1.2
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
SSLProtocol +TLSv1.1 +TLSv1.2
Відповідно до журналу змін OpenSSL , до галузі розробки OpenSSL 1.0.1 була додана підтримка TLS 1.2, але ця версія ще не випущена. Можливо, деякі зміни також знадобляться в коді mod_ssl, щоб фактично включити TLS 1.2 для Apache.
Ще одна широко використовувана бібліотека SSL / TLS - це NSS ; він використовується менш відомим модулем Apache mod_nss ; на жаль, поточні версії NSS також не підтримують TLS 1.2.
Ще одна бібліотека SSL / TLS є GnuTLS , і вона робить вигляд, що підтримує TLS 1.2 вже у своєму поточному випуску. Існує модуль Apache, що використовує GnuTLS: mod_gnutls , який також стверджує, що підтримує TLS 1.2. Однак цей модуль здається досить новим і може бути не дуже стабільним; Я ніколи не намагався ним користуватися.
Ви не можете, OpenSSL ще не пропонує випуску для TLS 1.1.
Один відповідний коментар до /. для цього питання:
Чи ласкаво поясніть немитим масам, як ви реалізуєте підтримку TLS 1.1 та 1.2 у світі, де домінуюча бібліотека OpenSSL ще не підтримує жодного з протоколів у своїх стабільних випусках? Звичайно, ви можете використовувати GnuTLS і mod_gnutls, і я це спробував, але не було сенсу, оскільки жоден браузер крім Opera це не підтримував, і в модулі були деякі дивні глюки. IE 8/9 повинен був підтримувати їх під Vista та 7, але не зміг отримати доступ до сайту, що обслуговується mod_gnutls, коли на стороні клієнта було включено 1.1 та 1.2. Я спробував це заново вчора просто з цікавості, і тепер навіть Opera 11.51 дроселів на TLS 1.1 і 1.2. Так що там. Ніщо насправді не підтримує протоколи. Потрібно зачекати OpenSSL 1.0.1 для TLS 1.1, і ніхто не знає, коли це потрапить на репост.
Адам Ленглі, інженер Google Chrome, зазначає, що TLS 1.1 не вирішив би цю проблему через проблему з впровадженням з SSLv3, над яким всім доведеться обійтися: браузери повинні повернутися до SSLv3 для підтримки помилкових серверів, а зловмисник може ініціювати це пониження рівня.
http://www.imperialviolet.org/2011/09/23/chromeandbeast.html
Gnu_tls працює як шарм, і він також реалізує SNI (ідентифікація імені сервера), що дуже корисно у віртуальному хостингу ....
Немає проблем також знайти бінні пакети для mod_gnutls в Linux-дистрибутивах, я використовую його з 2 років і жодних проблем, він також більш ефективний, ніж openssl imho.
Але проблема також полягає в тому, що більшість браузерів не підтримує tls 1.1 або 1.2, тому, будь ласка, почніть поширювати ідею регулярного оновлення браузерів для людей.