我运行 openssl0.9.8 很长时间了,突然我的 SSL 出现了一个红色的 X。我购买 SSL 的公司告诉我,我需要更新我的服务器配置以包含 tls1.2,并使用 SHA2 重新生成证书。
由于 apt-get update 无法更新 openssl,因此我手动编译了它,现在我正在使用版本 1.0.1j。我能够使用 tls1.2 通过 VPS 进行连接,但即使我在 apache 配置中包含了 SSLProtocols -all 并重新启动了服务器,https://www.ssllabs.com/ssltest/报告我的服务器没有使用 tls1.2。
我排除了 sslv2 + v3,更改没有问题。但是仍然无法使用 tls1.2。
有什么想法吗?Apache 版本为 2.2,运行 debian 6,PHP5-FPM
答案1
Debian 6(Debian Squeeze)是一款旧 Debian 版本并且不会包含较新的实用程序,例如 OpenSSL 1.0.1 及以上版本。OpenSSL 0.9.8 等实用程序将在 2016 年 2 月之前收到安全更新。立即计划迁移到 Debian 稳定版。
如果你不是非常如果你有编译 OpenSSL 等实用程序并在 Apache 中替换它们的经验,那么不要这样做——你会让自己陷入困境,并且可能会损坏你的系统。
unix.stackexchange.com 上的 Giles 说得很清楚:
Debian squeeze 不再是最新版本,因此您不能指望有最新版本的程序可供使用。如果您确实需要 openssl 命令行工具,您可以重新编译它,但请考虑您是否真的需要它:它没有那么多新功能。如果您担心的是安全更新,squeeze 仍然有安全更新。