Похожие вопросы

Почему apache не переходит по моим символическим ссылкам?
Как исправить установку PHP, если xml2-config отсутствует?
Удалить сборку в Apache httpd на macOS (OSX)
WAMP server-когда я иду на свой IP-адрес, он не перенаправляет на индекс.РНР
Виртуальные хосты Apache: корень документа как удаленный IP вместо локальной папки
Почему мой локальный сайт отображает тестовую страницу Apache2
Отказано в разрешении, так как отсутствуют разрешения поиска для компонента пути после chmod и chgrp
Виртуальные хосты не работают или перенаправление в WAMP
Запуск нескольких серверов Python на различных сопоставлениях URL
Apache не удается записать в файлы и папки на Fedora 16
ошибка установки apache-libapache2-svn не удается
Не удалось найти указанный модуль (Mod h264 streaming) (Apache2)?
apxs, apxs2 нигде не найти в Debian
Apache2 виртуальные хосты не распознаются должным образом
Может у вас несколько httpd-vhost.conf файлы на Mac OS X 10.9+?

Как заставить всех соединений Apache для использования в протоколе TLSv1.1 или протоколе TLSv1.2

Я не смог найти решение для этого, если есть пожалуйста, обратитесь к нему.

работает:

  • Windows7 x64
  • Apache 2.4.4
  • OpenSSL 1.0.1 j

и в моем httpd_ssl

SSLStrictSNIVHostCheck off  
SSLProtocol All -SSLv2 -SSLV3  
SSLCompression off  
SSLInsecureRenegotiation off  
SSLHonorCipherOrder on  

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !aNULL !eNULL 
!LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

SSLUseStapling on  
SSLStaplingResponderTimeout 5  
SSLStaplingReturnResponderErrors off  

вопрос:

все, что я делаю, я не могу показаться, чтобы включить протоколе TLSv1.1 & протоколе TLSv1.2.


Запустил скрипт ServerSSLTest и все поддерживаемые версии: В протоколе TLSv1.0

что мне не хватает?

5
задан Louis
источник

3 ответов

во-первых, необходимо, чтобы у вас в протоколе TLSv1.1 и v1.2 поддержка в OpenSSL - с версии 1.0.1 Дж, ты.

далее, является Apache версии 2.2.24 (или более поздней версии) поддержка элементов конфигурации, связанные с SSL. В частности, указывать что-либо позже, чем TLS1 (т. е. в протоколе TLSv1.1 в протоколе TLSv1.2) вы нуждаетесь в более поздней версии. У вас есть 2.4.4, так что это должно быть хорошо.

далее is "взаимодействие" между параметрами конфигурации Apache:SSLProtocol и SSLCipherSuite.

так для вашей желаемой конфигурации, TLSv1.1 & TLSv1.2, вам нужно что-то вроде:

SSLProtocol=All -SSLv2 -SSLV3 -TLSv1
SSLCipherSuite HIGH:!aNULL:!MD5:!RC4

Я ценю у вас есть более конкретный список шифр люкс:

EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4

однако, когда я проверил с моим openssl (v1.0.1 поток) я нашел следующий pre-TLSv1.2 сюиты были поддержаны:

 openssl ciphers -s -v 'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4'

ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(256) Mac=SHA1
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
DHE-RSA-SEED-SHA        SSLv3 Kx=DH       Au=RSA  Enc=SEED(128) Mac=SHA1
DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(128) Mac=SHA1

затем проверка здесь (раздел A. 5),http://tools.ietf.org/html/rfc4346 я не думаю, что любой из поддерживаемых наборов, перечисленных мой OpenSSL на самом деле в протоколе TLSv1.1 действует, так что только с TLSv1.2, при испытании (скажем в Qualys https://www.ssllabs.com/ssltest/).

наконец, есть вся проблема поддержки клиентов-ссылка Qualys выше удобна, поскольку она перечисляет, какой тип клиента (вплоть до конкретных версий Android, например) сможет подключиться к представленному тестовому серверу). Поскольку вы довольно специфичны для шифрования, я думаю, что вы не собираетесь слишком рисковать, позволяя TLSv1 (для которого читать v1.0) а также V1.1 & V1.2, Если вы не знаете, что вы база посетителей не будет включать в себя TLSv1 только способных клиентов.

5
отвечен Mark Bradley 2015-04-23 12:26:43
источник

для автоматической генерации файла ssl-config Mozilla имеет генератор ssl-config:

https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.0&openssl=1.0.1e&hsts=yes&profile=modern

Это даст шаблон для сервера Apache 2.4 с openssl 1.0.1 e версии.

надеюсь, это поможет кому-то новому в настройке ssl.

1
отвечен psykid 2017-09-19 14:04:57
источник

Попробуйте удалить SSLCipherSuite, и SSLProtocol строки:

SSLProtocol -All +TLSv1.1 +TLSv1.2

SSLCipherSuite, я полагаю, переопределит SSLProtocol в случае, когда это следует в файле конфигурации.

0
отвечен kronenpj 2014-10-22 00:24:07
источник

Другие вопросы apache-http-server openssl ssl windows-7