Como ativar o TLS 1.1 e 1.2 com o OpenSSL e o Apache

O TLS1.2 agora está disponível para o apache, para adicionar TLSs1.2, basta adicionar sua configuração de host virtual https:

SSLProtocol -all +TLSv1.2

-all está removendo outro protocolo ssl (SSL 1,2,3 TLS1)

+TLSv1.2 está adicionando o TLS 1.2

para mais compatibilidade com navegadores você pode usar

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

pela maneira como você pode aumentar o conjunto de codificação também usando:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$

Você pode testar a segurança do seu site https com um scanner on-line como: link

Compile o apache com a versão mais recente do OpenSSL para ativar o TLSv1.1 e o TLSv1.2

link

SSLProtocol +TLSv1.1 +TLSv1.2

De acordo com o changelog do OpenSSL , o suporte para o TLS 1.2 foi adicionado ao ramo de desenvolvimento do OpenSSL 1.0.1, mas esta versão ainda não foi lançada. Provavelmente algumas mudanças também serão necessárias no código mod_ssl para habilitar o TLS 1.2 para o Apache.

Outra biblioteca SSL / TLS comumente usada é NSS ; ele é usado por um módulo do Apache menos conhecido mod_nss ; infelizmente, as versões atuais do NSS também não suportam o TLS 1.2.

No entanto, outra biblioteca SSL / TLS é GnuTLS , e pretende suportar o TLS 1.2 já em sua versão atual. Existe um módulo Apache usando o GnuTLS: mod_gnutls , que também alega suportar o TLS 1.2. No entanto, este módulo parece ser bastante novo e pode não ser muito estável; Eu nunca tentei usá-lo.

Você não pode, o OpenSSL ainda não oferece uma versão para o TLS 1.1.

Um comentário pertinente sobre /. para este problema:

Will you kindly explain to the unwashed masses how you would implement TLS 1.1 and 1.2 support in a world where the dominant library OpenSSL does not yet support either of the protocols in its stable releases? Sure, you can use GnuTLS and mod_gnutls, and I have tried it, but there was no point, as no browser apart from Opera supported it and there were some weird glitches in the module. IE 8/9 were supposed to support them under Vista and 7, but failed to access the site served by mod_gnutls when 1.1 and 1.2 were enabled on the client side. I tried it anew yesterday just out of curiosity, and now even Opera 11.51 chokes on TLS 1.1 and 1.2. So there. Nothing really supports the protocols. Must wait for OpenSSL 1.0.1 for TLS 1.1 and nobody knows when that will hit the repos.

link

Adam Langley, engenheiro do Google Chrome, aponta que o TLS 1.1 não teria resolvido esse problema devido a um problema de implementação com o SSLv3 que todo mundo precisa resolver: os navegadores precisam fazer downgrade para SSLv3 para dar suporte a servidores com bugs e um invasor pode iniciar este downgrade.

link

O Gnu_tls funciona como um encanto e também implementa o SNI (Server Name Identification), que é muito útil em hospedagem virtual ...

Nenhum problema também para encontrar pacotes bin para mod_gnutls em distros linux, eu uso desde 2 anos e sem problemas, ele também tem mais performance que openssl imho.

Mas o problema é que a maioria dos navegadores não suporta tls 1.1 ou 1.2, então comece a difundir a ideia de atualizar navegadores regularmente para as pessoas.