답변:
이제 TLS1.2를 아파치에서 사용할 수 있습니다. TLSs1.2를 추가하려면 https 가상 호스트 구성에 추가하면됩니다.
SSLProtocol -all +TLSv1.2
-all
다른 SSL 프로토콜을 제거하고 있습니다 (SSL 1,2,3 TLS1)
+TLSv1.2
TLS 1.2를 추가합니다
더 많은 브라우저 호환성을 위해 사용할 수 있습니다
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
그런데 다음을 사용하여 암호 제품군을 늘릴 수도 있습니다.
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
https://www.ssllabs.com/ssltest/index.html 과 같은 온라인 스캐너를 사용하여 https 웹 사이트 보안을 테스트 할 수 있습니다.
TLSv1.1 및 TLSv1.2를 사용하도록 최신 버전의 OpenSSL로 아파치를 컴파일하십시오.
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
SSLProtocol +TLSv1.1 +TLSv1.2
OpenSSL changelog 에 따르면 TLS 1.2에 대한 지원이 OpenSSL 1.0.1의 개발 분기에 추가되었지만이 버전은 아직 릴리스되지 않았습니다. 아마도 Apache에서 TLS 1.2를 실제로 활성화하려면 mod_ssl 코드에서 일부 변경이 필요할 것입니다.
일반적으로 사용되는 다른 SSL / TLS 라이브러리는 NSS입니다 . 잘 알려지지 않은 Apache 모듈 mod_nss에 의해 사용 됩니다 . 불행히도 현재 NSS 릴리스는 TLS 1.2를 지원하지 않습니다.
또 다른 SSL / TLS 라이브러리는 GnuTLS 이며 현재 릴리스에서 이미 TLS 1.2를 지원하는 것처럼 가장합니다. GnuTLS를 사용하는 Apache 모듈이 있습니다 : mod_gnutls , 또한 TLS 1.2를 지원한다고 주장합니다. 그러나이 모듈은 다소 새로운 것으로 보이며 매우 안정적이지 않을 수 있습니다. 나는 그것을 사용하려고하지 않았습니다.
OpenSSL은 아직 TLS 1.1 릴리스를 제공하지 않습니다.
/에 대한 적절한 의견입니다. 이 문제의 경우 :
지배적 인 라이브러리 OpenSSL이 안정적인 릴리스에서 프로토콜 중 하나를 아직 지원하지 않는 세계에서 어떻게 TLS 1.1 및 1.2 지원을 구현할 것인지에 대해 씻지 않은 대중에게 친절하게 설명 하시겠습니까? 물론, 당신은 GnuTLS와 mod_gnutls를 사용할 수 있으며, 그것을 시도했지만 Opera 이외의 브라우저가 그것을 지원하지 않았고 모듈에 이상한 결함이 있었으므로 아무런 의미가 없었습니다. IE 8/9는 Vista 및 7에서 이들을 지원해야했지만 클라이언트 측에서 1.1 및 1.2가 활성화 된 경우 mod_gnutls가 제공하는 사이트에 액세스하지 못했습니다. 나는 어제 호기심으로 새롭게 시도해 보았으며 이제는 TLS 1.1 및 1.2에서 Opera 11.51 초크까지도 시도했습니다. 그래서. 실제로 프로토콜을 지원하는 것은 없습니다. TLS 1.1에 대해 OpenSSL 1.0.1을 기다려야하며 언제 repos에 도달하는지 아무도 모릅니다.
Chrome 엔지니어 인 Adam Langley는 모든 사람이 해결해야하는 SSLv3의 구현 문제로 인해 TLS 1.1이이 문제를 해결하지 못했을 것이라고 지적했습니다. 다운 그레이드.
http://www.imperialviolet.org/2011/09/23/chromeandbeast.html
Gnu_tls는 매력처럼 작동하며 가상 호스팅에 매우 유용한 SNI (Server Name Identification)도 구현합니다.
리눅스 배포판에서 mod_gnutls에 대한 bin 패키지를 찾는 데 아무런 문제가 없습니다 .2 년 이래로 사용했지만 아무런 문제가 없으며 openssl imho보다 성능이 뛰어납니다.
그러나 문제는 대부분의 브라우저가 tls 1.1 또는 1.2를 지원하지 않기 때문에 브라우저를 사람들에게 정기적으로 업그레이드한다는 아이디어를 확산시키기 시작하십시오.