Apache 上的 SSL/TLS 1.2 和 openssl 1.0.1

tag-icon tag-icon apache-2.2 openssl
Apache 上的 SSL/TLS 1.2 和 openssl 1.0.1

我构建并安装了 openssl 1.0.1。如何强制 Apache 使用 TLS 1.2 密码?

答案1

这两个文档涵盖了 TLS 1.2;
https://www.rfc-editor.org/rfc/rfc5246
https://www.rfc-editor.org/rfc/rfc6176

基本上后者的文档是禁止 SSL 2.0 与 TLS1.2 协商,这是 Fedora 附带的 httpd 2.2 的默认设置;例如SSLProtocol all -SSLv2

但是你的问题是关于 CipherSuites 的,这些文档中也涵盖了这些内容;从表面上看,唯一的强制密码套件对于 TLS 1.2 是 TLS_RSA_WITH_AES_128_CBC_SHA

Appendix C. Cipher Suite Definitions
Cipher Suite                            Key        Cipher         Mac
                                        Exchange
TLS_RSA_WITH_AES_128_CBC_SHA            RSA          AES_128_CBC  SHA

这表示服务器必须提供用于密钥交换的 RSA 证书,并且密码应为 AES_128_CBC 和 Mac SHA。

从 httpd mod_ssl 文档来看,这转化为;

 SSLCipherSuite aRSA:kRSA:AES128-CBC:SHA

此处有记录;
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslciphersuite

相关内容