Come forzare tutte le connessioni al mio server Apache per utilizzare TLSv1.1 o TLSv1.2?

Naviga le tue risposte
5

Ho provato su Ubuntu 12.04 (apache 2.2.22-1ubuntu1.4 e openssl 1.0.1-4ubuntu5.10) e Ubuntu 13.04 (apache 2.2.22-6ubuntu5.1 e openssl 1.0.1c-4ubuntu8.1).

qui spiega come farlo, ma ho i seguenti problemi:

Quando provi a usare:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1

Ho ricevuto il seguente errore:

[error] No SSL protocols available [hint: SSLProtocol]

quando provi a usare:

SSLProtocol TLSv1.1 TLSv1.2

Ho ricevuto il seguente errore:

[error] No SSL protocols available [hint: SSLProtocol]

La cosa divertente è che quando uso:

SSLProtocol all -SSLv2 -TLSv1

Apache non si lamenta e questo test ha segnalato che il mio server non supporta SSLv2 e TLSv1.0, ma sì SSLv3, TLSv1.1 e TLSv1.2.

Qualche spiegazione a quel comportamento strano? forse lo strumento di test è rotto?

Come posso abilitare solo TLSv1.1 e TLSv1.2?

    
posta gsi-frank 03.10.2013 - 22:05
fonte

3 risposte

6

(Questo è un problema di configurazione del software, percepisco un trasferimento a superuser.se in arrivo ...)

Esistono due prerequisiti per il funzionamento di questa configurazione:

  • Openssl-1.0.1 (si)
  • link

Purtroppo, la SSLProtocol documentazione non riporta la richiesta della versione httpd (sebbene sia annotato nella sezione commenti, proprio in fondo alla pagina).

Il codice è un po 'complicato: itera sulla lista dei protocolli a cui è a conoscenza ed elimina quelli che non hai abilitato. Questo spiega il comportamento che vedi.

Il codice fino a includere httpd-2.2.22 non analizza "TLSv1.1" o successivo (vedere modules/ssl/ssl_engine_init.c e modules/ssl/ssl_private.h ).

    
risposta data 04.10.2013 - 11:59
fonte
4

Impostazione di SSLCipherSuite con solo crittografie che sono JUST supportate in TLSv1.2 aggirano la limitazione di Apache 2.2 di parse TLSv1.1 stringa di cui @ mr.spuratic parla.

    
risposta data 04.10.2013 - 17:29
fonte
1

L'openssl in ubuntu non supporta TLSv1.2, l'hanno disabilitato. È documentato in bug 1256576

    
risposta data 16.04.2014 - 20:26
fonte

Leggi altre domande sui tag

HTTP Web e insicuro - Utilizzo di RSA per crittografare le password sul lato client Come posso garantire che un'app per Android sia stata installata su un dispositivo fisico e non su un emulatore?