it-swarm.com.de

Wie erzwinge ich, dass alle Verbindungen zu meinem Apache TLSv1.1 oder TLSv1.2 verwenden?

Ich habe Ubuntu 12.04 (Apache 2.2.22-1ubuntu1.4 und openssl 1.0.1-4ubuntu5.10) und Ubuntu 13.04 (Apache 2.2.22-6ubuntu5.1 und openssl 1.0.1c-4ubuntu8.1) getestet.

hier erkläre, wie das geht, aber ich habe folgende Probleme:

Wenn Sie versuchen, Folgendes zu verwenden:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1

Ich habe folgende Fehlermeldung erhalten:

[Fehler] Keine SSL-Protokolle verfügbar [Hinweis: SSLProtocol]

wenn Sie versuchen zu verwenden:

SSLProtocol TLSv1.1 TLSv1.2

Ich habe folgende Fehlermeldung erhalten:

[Fehler] Keine SSL-Protokolle verfügbar [Hinweis: SSLProtocol]

Das lustige ist, wenn ich benutze:

SSLProtocol all -SSLv2 -TLSv1

Apache beschwert sich nicht und dieser Test hat gemeldet, dass mein Server SSLv2 und TLSv1.0 nicht unterstützt, aber SSLv3, TLSv1.1 und TLSv1.2.

Irgendeine Erklärung für dieses seltsame Verhalten? Vielleicht ist das Testwerkzeug kaputt?

Wie kann ich nur TLSv1.1 und TLSv1.2 aktivieren?

2
gsi-frank

Das Setzen von SSLCipherSuite mit nur Chiffren, die nur in TLSv1.2 unterstützt werden, umgeht die Apache 2.2-Einschränkung des Parsens TLSv1.1 Zeichenfolge, um TLS auf die Version zu beschränken über 1,0.

1
gsi-frank

Wie erzwinge ich, dass alle Verbindungen zu meinem Apache TLSv1.1 oder TLSv1.2 verwenden?

Möglicherweise können Sie sie nicht aktivieren. Das Ubuntu-Sicherheitsteam deaktiviert TLS 1.2. Ich glaube, sie haben TLS 1.1 in der Vergangenheit deaktiviert. Sie tun dies aus Gründen der Interoperabilität.

Ich glaube, Sie haben drei Möglichkeiten.

Tun Sie zunächst nichts und verwenden Sie die Ubuntu 12-Version von OpenSSL. Ich glaube, TLS 1.1 wird jetzt unterstützt, aber Sie werden TLS 1.2 immer noch nicht haben.

Zweitens erstellen und pflegen Sie Ihre eigenen PPA . Hierfür gibt es einige Anweisungen unter Distro-Paket mit benutzerdefiniertem Paket überschreiben? Der Vollständigkeit halber gibt es kein vorhandenes Personal Package Archives für Ubuntu und OpenSSL , das die vollständigen Protokolle bietet.

Das dritte ist ein Upgrade auf eine spätere Version von Ubuntu, wie Ubuntu 14. Ich versuche festzustellen, ob Ubuntu 14 sie alle im Moment aktiviert. Siehe buntu 14, OpenSSL und TLS-Protokolle? .

0
user207039