it-swarm.com.de

So aktivieren Sie TLS 1.1 und 1.2 mit OpenSSL und Apache

Angesichts einer wachsenden Anzahl von Sicherheitsproblemen, wie dem neu angekündigten Browser Exploit gegen SSL/TLS (BEAST), war ich gespannt, wie wir TLS 1.1 und 1.2 mit OpenSSL und Apache aktivieren können, um sicherzustellen, dass wir nicht anfällig sind zu solchen Bedrohungsvektoren.

34
John

TLS1.2 ist jetzt für Apache verfügbar. Um TLSs1.2 hinzuzufügen, müssen Sie es nur in Ihrer Konfiguration des virtuellen https-Hosts hinzufügen:

SSLProtocol -all +TLSv1.2

-all entfernt anderes SSL-Protokoll (SSL 1,2,3 TLS1)

+TLSv1.2 fügt TLS 1.2 hinzu

für mehr Browserkompatibilität können Sie verwenden

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

übrigens können Sie die Cipher Suite auch erweitern, indem Sie:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$

Sie können die Sicherheit Ihrer https-Website mit einem Online-Scanner wie dem folgenden testen: https://www.ssllabs.com/ssltest/index.html

26
Froggiz

Kompilieren Sie Apache mit der neuesten Version von OpenSSL, um TLSv1.1 und TLSv1.2 zu aktivieren

http://httpd.Apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol

SSLProtocol +TLSv1.1 +TLSv1.2
11
Bob Fanger

Laut OpenSSL Changelog wurde die Unterstützung für TLS 1.2 zum Entwicklungszweig von OpenSSL 1.0.1 hinzugefügt, aber diese Version ist noch nicht veröffentlicht. Wahrscheinlich sind auch einige Änderungen im mod_ssl-Code erforderlich, um TLS 1.2 für Apache tatsächlich zu aktivieren.

Eine andere häufig verwendete SSL/TLS-Bibliothek ist NSS ; es wird von einem weniger bekannten Apache-Modul verwendet mod_nss ; Leider unterstützen aktuelle NSS-Versionen auch TLS 1.2 nicht.

Eine weitere SSL/TLS-Bibliothek ist GnuTLS und gibt vor, TLS 1.2 bereits in der aktuellen Version zu unterstützen. Es gibt ein Apache-Modul, das GnuTLS verwendet: mod_gnutls , das auch behauptet, TLS 1.2 zu unterstützen. Dieses Modul scheint jedoch ziemlich neu zu sein und ist möglicherweise nicht sehr stabil. Ich habe nie versucht, es zu benutzen.

10
Sergey Vlasov

Sie können nicht, OpenSSL bietet noch keine Version für TLS 1.1 an.

Ein einschlägiger Kommentar zu /. für diese Ausgabe:

Erklären Sie den ungewaschenen Massen freundlich, wie Sie die TLS 1.1- und 1.2-Unterstützung in einer Welt implementieren würden, in der die dominierende Bibliothek OpenSSL noch keines der Protokolle in ihren stabilen Versionen unterstützt? Sicher, Sie können GnuTLS und mod_gnutls verwenden, und ich habe es versucht, aber es hatte keinen Sinn, da kein Browser außer Opera es unterstützte und es einige seltsame Störungen im Modul gab. IE 8/9 sollte sie unter Vista und 7 unterstützen, konnte jedoch nicht auf die von mod_gnutls bereitgestellte Site zugreifen, als 1.1 und 1.2 auf der Clientseite aktiviert waren. Ich habe es gestern aus Neugier erneut versucht und jetzt sogar Opera 11.51 Drosseln auf TLS 1.1 und 1.2. Also da. Nichts unterstützt die Protokolle wirklich. Muss auf OpenSSL 1.0.1 für TLS 1.1 warten und niemand weiß, wann das die Repos treffen wird.

http://it.slashdot.org/comments.pl?sid=2439924&cid=3747789

6
Steve-o

Adam Langley, ein Google Chrome Ingenieur), weist darauf hin, dass TLS 1.1 dieses Problem aufgrund eines Implementierungsproblems mit SSLv3, das jeder umgehen muss, nicht gelöst hätte: Browser müssen zur Unterstützung auf SSLv3 herunterstufen Buggy-Server und ein Angreifer können dieses Downgrade einleiten.

http://www.imperialviolet.org/2011/09/23/chromeandbeast.html

4
cjc

Gnu_tls funktioniert wie ein Zauber und implementiert auch SNI (Server Name Identification), das im virtuellen Hosting sehr benutzerfreundlich ist.

Kein Problem auch bin Pakete für mod_gnutls in Linux Distributionen zu finden, ich benutze es seit 2 Jahren und keine Probleme, es ist auch leistungsfähiger als openssl imho.

Das Problem ist aber auch, dass die meisten Browser tls 1.1 oder 1.2 nicht unterstützen. Beginnen Sie also damit, die Idee zu verbreiten, Browser regelmäßig für Benutzer zu aktualisieren.

3
rastrano