web-dev-qa-db-ja.com

Apacheへのすべての接続でTLSv1.1またはTLSv1.2を使用することをどのように強制しますか?

Ubuntu 12.04(Apache 2.2.22-1ubuntu1.4およびopenssl 1.0.1-4ubuntu5.10)およびUbuntu 13.04(Apache 2.2.22-6ubuntu5.1およびopenssl 1.0.1c-4ubuntu8.1)でテストしました。

here その方法を説明しますが、次の問題があります。

使用しようとする場合:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1

次のエラーが表示されました。

[エラー]利用可能なSSLプロトコルはありません[ヒント:SSLProtocol]

使用しようとすると:

SSLProtocol TLSv1.1 TLSv1.2

次のエラーが表示されました。

[エラー]利用可能なSSLプロトコルはありません[ヒント:SSLProtocol]

面白いのは、私が使うとき:

SSLProtocol all -SSLv2 -TLSv1

Apacheは文句を言わず、 このテスト は私のサーバーがSSLv2とTLSv1.0をサポートしていないことを報告しましたが、はいSSLv3、TLSv1.1およびTLSv1.2をサポートしています。

その奇妙な動作の説明はありますか?テストツールが壊れている可能性がありますか?

TLSv1.1とTLSv1.2のみを有効にするにはどうすればよいですか?

2
gsi-frank

SSLCipherSuiteでサポートされている暗号のみで設定TLSv1.2解析のApache 2.2制限をバイパスTLSv1.1文字列をバージョンに制限する1.0以上。

1
gsi-frank

Apacheへのすべての接続でTLSv1.1またはTLSv1.2を使用することをどのように強制しますか?

有効にできない場合があります。 UbuntuセキュリティチームはTLS 1.2を無効にします。私は彼らが過去にTLS 1.1を無効にしたと信じています。彼らは相互運用性の理由でそれをします。

3つの選択肢があると思います。

まず、何もせずに、Ubuntu 12のOpenSSLバージョンを使用します。 TLS 1.1は現在サポートされていると思いますが、TLS 1.2はまだありません。

次に、独自の PPA を構築して維持します。 カスタムパッケージでディストリビューションパッケージをオーバーライドしますか? で完全なプロトコルを提供する既存の buntuおよびOpenSSLの個人パッケージアーカイブ には、そのための手順があります。

3つ目は、Ubuntu 14などのUbuntuの新しいバージョンへのアップグレードです。現在、Ubuntu 14でそれらがすべて有効になっているかどうかを確認しようとしています。 buntu 14、OpenSSL、およびTLSプロトコル? を参照してください。

0
user207039