Как заставить всех соединений Apache для использования в протоколе TLSv1.1 или протоколе TLSv1.2

во-первых, необходимо, чтобы у вас в протоколе TLSv1.1 и v1.2 поддержка в OpenSSL - с версии 1.0.1 Дж, ты.

далее, является Apache версии 2.2.24 (или более поздней версии) поддержка элементов конфигурации, связанные с SSL. В частности, указывать что-либо позже, чем TLS1 (т. е. в протоколе TLSv1.1 в протоколе TLSv1.2) вы нуждаетесь в более поздней версии. У вас есть 2.4.4, так что это должно быть хорошо.

далее is "взаимодействие" между параметрами конфигурации Apache:SSLProtocol и SSLCipherSuite.

так для вашей желаемой конфигурации, TLSv1.1 & TLSv1.2, вам нужно что-то вроде:

SSLProtocol=All -SSLv2 -SSLV3 -TLSv1
SSLCipherSuite HIGH:!aNULL:!MD5:!RC4

Я ценю у вас есть более конкретный список шифр люкс:

EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4

однако, когда я проверил с моим openssl (v1.0.1 поток) я нашел следующий pre-TLSv1.2 сюиты были поддержаны:

 openssl ciphers -s -v 'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4'

ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(256) Mac=SHA1
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
DHE-RSA-SEED-SHA        SSLv3 Kx=DH       Au=RSA  Enc=SEED(128) Mac=SHA1
DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(128) Mac=SHA1

затем проверка здесь (раздел A. 5),http://tools.ietf.org/html/rfc4346 я не думаю, что любой из поддерживаемых наборов, перечисленных мой OpenSSL на самом деле в протоколе TLSv1.1 действует, так что только с TLSv1.2, при испытании (скажем в Qualys https://www.ssllabs.com/ssltest/).

наконец, есть вся проблема поддержки клиентов-ссылка Qualys выше удобна, поскольку она перечисляет, какой тип клиента (вплоть до конкретных версий Android, например) сможет подключиться к представленному тестовому серверу). Поскольку вы довольно специфичны для шифрования, я думаю, что вы не собираетесь слишком рисковать, позволяя TLSv1 (для которого читать v1.0) а также V1.1 & V1.2, Если вы не знаете, что вы база посетителей не будет включать в себя TLSv1 только способных клиентов.