Frage So aktivieren Sie TLS 1.1 und 1.2 mit OpenSSL und Apache


Angesichts einer wachsenden Anzahl von Sicherheitsproblemen, wie dem kürzlich angekündigten Browser Exploit Against SSL / TLS (BEAST), war ich neugierig, wie wir TLS 1.1 und 1.2 mit OpenSSL und Apache aktivieren können, um sicherzustellen, dass wir nicht verwundbar sind zu solchen Bedrohungsvektoren.


29
2017-09-23 14:46


Ursprung




Antworten:


TLS1.2 ist jetzt für Apache verfügbar, Um TLSs1.2 hinzuzufügen, müssen Sie lediglich Ihre virtuelle https-Konfiguration hinzufügen:

SSLProtocol -all +TLSv1.2

-all entfernt andere SSL-Protokoll (SSL 1,2,3 TLS1)

+TLSv1.2 fügt TLS 1.2 hinzu

Für mehr Browser-Kompatibilität können Sie verwenden

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

Übrigens können Sie die Cipher-Suite auch mit folgenden Optionen erweitern:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$

Sie können die Sicherheit Ihrer https-Website mit einem Online-Scanner wie: https://www.ssllabs.com/ssltest/index.html


22
2017-10-04 12:34



Ich bin mir nicht sicher, warum dieser Beitrag als "veraltet" markiert ist. Ich habe die empfohlene Lösung verwendet, und die Website meines Kunden wurde von "C" auf den Qualsys SSL Labs auf "A" umgestellt. - Michael Sobczak
Hallo, ich habe veraltete Warnung entfernt, um Missverständnis zu verhindern, es war Link zur alten richtigen Antwort. Ich bin froh, dass deine Sicherheit zugenommen hat;) - Froggiz
In sites-available / 000-default.conf habe ich dem virtuellen Host 'SSLProtocol -alle + TLSv1.2' hinzugefügt und bekam: AH00526: Syntaxfehler in Zeile 31 von /etc/apache2/sites-enabled/000-default.conf : Ungültiger Befehl 'SSLProtocol', möglicherweise falsch geschrieben oder von einem Modul definiert, das nicht in der Serverkonfiguration enthalten ist. Aktion 'configtest' fehlgeschlagen. - Elia Weiss
Hast du mod_ssl aktiviert? (Befehl: a2enmod ssl) - Froggiz
"SSLProtocol: Illegales Protokoll 'TLSv1.2'" (OS X 10.10.5) - Michael


Kompilieren Sie Apache mit der neuesten Version von OpenSSL, um TLSv1.1 und TLSv1.2 zu aktivieren

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol

SSLProtocol +TLSv1.1 +TLSv1.2

10
2018-04-19 12:50





Laut OpenSSL-Änderungsprotokoll, Unterstützung für TLS 1.2 wurde dem Entwicklungszweig von OpenSSL 1.0.1 hinzugefügt, diese Version ist jedoch noch nicht freigegeben. Wahrscheinlich werden auch einige Änderungen im mod_ssl-Code benötigt, um TLS 1.2 für Apache tatsächlich zu aktivieren.

Eine andere häufig verwendete SSL / TLS-Bibliothek ist NSS; Es wird von einem weniger bekannten Apache-Modul verwendet mod_nss; Leider unterstützen aktuelle NSS-Releases auch TLS 1.2 nicht.

Noch eine andere SSL / TLS-Bibliothek ist GnuTLSund es gibt vor, TLS 1.2 bereits in seiner aktuellen Version zu unterstützen. Es gibt ein Apache-Modul, das GnuTLS verwendet: mod_gnutls, die auch TLS 1.2 unterstützen. Dieses Modul scheint jedoch ziemlich neu zu sein und möglicherweise nicht sehr stabil zu sein. Ich habe nie versucht, es zu benutzen.


9
2017-09-23 15:07



@ Sergey, danke für die Links und die Informationen. Ich bin immer noch traurig, dass wir diese Standards angesichts ihres Alters nicht nutzen können. Es erscheint mir merkwürdig, dass wir Verteidiger unserer Systeme und unserer Netzwerke sein müssen, aber wir können nicht die Werkzeuge verwenden, die helfen würden, unsere Sicherheitsstellungen zu verbessern. Es scheint auch, dass die Web-Browser-Leute eine Möglichkeit haben, Unterstützung für diese Standards zusätzlich zu den Server-Leuten wie Apache und möglicherweise IIS zu ermöglichen. - John
Ist diese Antwort noch ein Jahr später korrekt? - Ben Walther
@BenWalther OpenSSL 1.0.1 wurde im März 2012 mit Unterstützung für TLS 1.2 veröffentlicht. Die neueste Version ist ab sofort 1.0.1c. Ich bin mir nicht sicher, wie viel von dem Rest des Beitrags noch gültig ist. - Burhan Ali


Sie können nicht, OpenSSL bietet noch kein Release für TLS 1.1 an.

Ein entsprechender Kommentar zu /. für dieses Problem:

Erklären Sie den ungewaschenen Massen freundlicherweise, wie Sie es umsetzen würden   TLS 1.1 und 1.2 unterstützen in einer Welt, in der die dominierende Bibliothek OpenSSL   unterstützt eines der Protokolle in seinen stabilen Versionen noch nicht?   Sicher, du kannst GnuTLS und mod_gnutls benutzen, und ich habe es versucht, aber   es gab keinen Grund, da kein Browser außer Opera es unterstützte und   es gab einige seltsame Störungen im Modul. IE 8/9 sollte   unterstützt sie unter Vista und 7, konnte aber nicht auf die gelieferte Seite zugreifen   von mod_gnutls, wenn 1.1 und 1.2 auf der Clientseite aktiviert waren. ich   habe es gestern aus reiner Neugier und jetzt sogar Opera neu probiert   11.51 Drosseln auf TLS 1.1 und 1.2. Also da. Nichts unterstützt wirklich die   Protokolle. Muss auf OpenSSL 1.0.1 für TLS 1.1 warten und niemand weiß es   wenn das die Repos trifft.

http://it.slashdot.org/comments.pl?sid=2439924&cid=37477890


5
2017-09-23 15:02



@ Steve-o, danke für die Information. Das ist enttäuschend, dass TLS 1.1 seit April 2006 nicht mehr verfügbar ist und TLS 1.2 seit August 2008 mit Updates im März 2011 veröffentlicht wurde und wir diese immer noch nicht nutzen können. - John


Adam Langley, ein Google Chrome-Techniker, weist darauf hin, dass TLS 1.1 dieses Problem aufgrund eines Implementierungsproblems mit SSLv3, mit dem jeder umgehen muss, nicht gelöst hat: Browser müssen auf SSLv3 herunterstufen, um Buggy-Server zu unterstützen, und ein Angreifer kann dies initiieren Downgrade.

http://www.imperialviolet.org/2011/09/23/chromeandbeast.html


3
2017-09-25 00:22





Gnu_tls funktioniert wie ein Zauber und es implementiert auch SNI (Server Name Identification), das ist sehr benutzerfreundlich im virtuellen Hosting ....

Kein Problem auch bin Pakete für mod_gnutls in Linux Distributionen zu finden, ich benutze es seit 2 Jahren und keine Probleme, es ist auch leistungsfähiger als openssl imho.

Aber das Problem ist auch, dass die meisten Browser tls 1.1 oder 1.2 nicht unterstützen, also fange an, die Idee zu verbreiten, Browser regelmäßig auf Leute zu aktualisieren.


2
2017-09-24 19:03



@Rastrano - hast du Vorschläge oder Links zur Umsetzung? Danke für die Info und es ist schade, dass "moderne" Browser es noch nicht unterstützen. - John