强制 httpd 2.0 mod_ssl 使用 TLSv1 进行代理握手

Question

通过查看 httpd 源代码找到了答案——httpd 版本 2.0 不会对任何连接使用 SSLv3/TLSv1 握手，因为它仅使用 SSLv2_client_method() 或 SSLv23_client_method() 来创建其 SSL 上下文。

来自ssl_engine_init.c：

if (protocol == SSL_PROTOCOL_SSLV2) {
    method = mctx->pkp ?
       SSLv2_client_method() : /* proxy */
        SSLv2_server_method();  /* server */
    ctx = SSL_CTX_new(method);  /* only SSLv2 is left */
}
else {
    method = mctx->pkp ?
        SSLv23_client_method() : /* proxy */
        SSLv23_server_method();  /* server */
    ctx = SSL_CTX_new(method); /* be more flexible */
}

根据SSL 文档，使用 TLSv1_server_method() 创建的服务器上下文将无法理解 SSLv2* 方法。确认 httpd/mod_ssl 的更高版本可以按预期工作，并首先尝试 SSLv3/TLSv1。

不要使用旧版本！

Answer 1

通过查看 httpd 源代码找到了答案——httpd 版本 2.0 不会对任何连接使用 SSLv3/TLSv1 握手，因为它仅使用 SSLv2_client_method() 或 SSLv23_client_method() 来创建其 SSL 上下文。

来自ssl_engine_init.c：

if (protocol == SSL_PROTOCOL_SSLV2) {
    method = mctx->pkp ?
       SSLv2_client_method() : /* proxy */
        SSLv2_server_method();  /* server */
    ctx = SSL_CTX_new(method);  /* only SSLv2 is left */
}
else {
    method = mctx->pkp ?
        SSLv23_client_method() : /* proxy */
        SSLv23_server_method();  /* server */
    ctx = SSL_CTX_new(method); /* be more flexible */
}

根据SSL 文档，使用 TLSv1_server_method() 创建的服务器上下文将无法理解 SSLv2* 方法。确认 httpd/mod_ssl 的更高版本可以按预期工作，并首先尝试 SSLv3/TLSv1。

不要使用旧版本！

强制 httpd 2.0 mod_ssl 使用 TLSv1 进行代理握手

答案1

相关内容