OpenSSL 和 TLS 1.1 和 TLS 1.2 - 我应该更新吗?

OpenSSL 和 TLS 1.1 和 TLS 1.2 - 我应该更新吗?

apt-get 中的 Debian 6s openssl 仍为 0.9.8 (2010),不支持 TLS 1.1 和 TLS 1.2。有什么原因让我不应该更新到最新的稳定版本 1.0.1e 吗?或者,您推荐哪个版本支持 TLS 1.1/2。

答案1

是的,你应该更新。
具体来说,你应该更新到 Debian 7 (Wheezy)就像 Zoredache 告诉你的那样Apache
底层有很多依赖项,并且需要完整的操作系统升级这是进行此升级的“最简单方法”。它还能为您带来自 Debian 6 以来的许多其他安全性和功能增强。


如果您不想升级到 Debian 7,您可能应该继续使用旧的 OpenSSL 和 Apache(记住这样做的所有后果)。在 Debian 6 上进行的任何升级都必须“艰难地”完成。


如果您坚持要用困难的方式来做这件事,那么您将需要下载 Apache、OpenSSL 和您在 Web 服务器中使用的任何其他辅助组件(PHP、Passenger、mod_perl 等),然后构建一个本地 OpenSSL,编译一个针对该 SSL 库的自定义 Apache 构建,然后将所有辅助组件添加到您的自定义 Apache 环境中。

当然,您随后将负责自行跟踪所有这些组件的安全更新,并根据需要重建/重新安装它们。
这还会导致您的核心系统运行与您的 Web 服务器不同的 OpenSSL(这对您来说可能是也可能不是一个大问题——但这是您在将来排除故障时需要注意的事情。

这些当然都是可行的,但分步指南超出了 Server Fault 的范围(坦率地说,如果你需要这样的指南你一开始就没有必要这么做——这是一种中等高级的系统管理,就像回到包管理之前的糟糕旧时代,如果你不具备那种技能水平,你需要在沙盒环境中尝试,然后才能在生产中尝试这样做)。

相关内容