¿Cómo forzar que todas las conexiones a mi servidor Apache utilicen TLSv1.1 o TLSv1.2?

5

Probé en Ubuntu 12.04 (apache 2.2.22-1ubuntu1.4 y openssl 1.0.1-4ubuntu5.10) y Ubuntu 13.04 (apache 2.2.22-6ubuntu5.1 y openssl 1.0.1c-4ubuntu8.1).

aquí explica cómo hacerlo, pero tengo los siguientes problemas:

Cuando intente usar:

  

SSLProtocol all -SSLv2 -SSLv3 -TLSv1

Recibí el siguiente error:

  

[error] No hay protocolos SSL disponibles [sugerencia: SSLProtocol]

cuando intente usar:

  

SSLProtocol TLSv1.1 TLSv1.2

Recibí el siguiente error:

  

[error] No hay protocolos SSL disponibles [sugerencia: SSLProtocol]

Lo gracioso es que cuando uso:

  

SSLProtocol all -SSLv2 -TLSv1

apache no se queja y esta prueba informó que mi servidor no es compatible con SSLv2 y TLSv1.0, pero sí SSLv3, TLSv1.1 y TLSv1.2.

¿Alguna explicación a ese extraño comportamiento? Tal vez la herramienta de prueba está rota?

¿Cómo puedo habilitar solo TLSv1.1 y TLSv1.2?

    
pregunta gsi-frank 03.10.2013 - 22:05
fuente

3 respuestas

6

(Este es un problema de configuración de software, siento que se está reubicando a superuser.se ...)

Hay dos requisitos previos para que funcione esta configuración:

  • Openssl-1.0.1 (sí)
  • enlace

Lamentablemente, la documentación SSLProtocol no establece la versión httpd requerida (aunque se indica en la sección de comentarios, justo en la parte inferior de la página).

El código es un poco complicado: itera sobre la lista de protocolos que conoce y elimina aquellos que no habilitó. Esto explica el comportamiento que ves.

El código hasta e incluyendo httpd-2.2.22 no analiza "TLSv1.1" o posterior (ver modules/ssl/ssl_engine_init.c y modules/ssl/ssl_private.h ).

    
respondido por el mr.spuratic 04.10.2013 - 11:59
fuente
4

La configuración de SSLCipherSuite solo con cifrados que son JUST compatibles con TLSv1.2 evita la limitación de Apache 2.2 del análisis TLSv1.1 cadena que @ mr.spuratic habla.

    
respondido por el gsi-frank 04.10.2013 - 17:29
fuente
1

El openssl en ubuntu no es compatible con TLSv1.2, lo han desactivado. Esta documentado en error 1256576

    
respondido por el dlmeetei 16.04.2014 - 20:26
fuente

Lea otras preguntas en las etiquetas