如何才能知道 Apache 2.2.3 是否支持 TLSv1.1 和 TLSv1.2?
如果可能的话我该如何实现?
答案1
截至目前,CentOS 5.11(最新稳定版)不支持 TLSv1.1 或 TLSv1.2。
我正在使用具有以下设置的 CentOS 5.11 开发机器来减轻任何 BEAST 攻击等:
[dev@host ~]# cat /etc/redhat-release
CentOS release 5.11 (Final)
[dev@host ~]# yum list installed | grep httpd
httpd.x86_64 2.2.3-91.el5.centos
[dev@host ~]# yum list installed | grep openssl
openssl.x86_64 0.9.8e-32.el5_11
[dev@host ~]# cat /etc/httpd/conf.d/ssl.conf | grep SSLProtocol
SSLProtocol +TLSv1
[dev@host ~]# cat /etc/httpd/conf.d/ssl.conf | grep SSLCipherSuite
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
确保在同一个 ssl.conf 中为 Cipher 添加此项
SSLHonorCipherOrder on
删除 TLSv1 并添加 TLSv1.1 或 TLSv1.2 SSL 协议的唯一方法是升级到 CentOS 6。请注意,如果您在 CentOS 6 计算机上启用 TLSv1.1 和 TLSv1.2 并删除 TLSv1,旧浏览器可能会不支持它,甚至不支持第三方应用程序。当然先测试一下。