A la luz de un número creciente de problemas de seguridad, como el recientemente anunciado Exploit Exploit Against SSL / TLS (BEAST), tenía curiosidad sobre cómo podríamos habilitar TLS 1.1 y 1.2 con OpenSSL y Apache para garantizar que no seremos vulnerables. a tales vectores de amenaza.
Respuestas:
TLS1.2 ahora está disponible para apache, para agregar TLSs1.2 solo necesita agregar en su configuración de host virtual https:
SSLProtocol -all +TLSv1.2
-all está eliminando otro protocolo SSL (SSL 1,2,3 TLS1)
+TLSv1.2 está agregando TLS 1.2
para una mayor compatibilidad del navegador puedes usar
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
por cierto, también puedes aumentar la suite Cipher usando:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
Puede probar la seguridad de su sitio web https con un escáner en línea como: https://www.ssllabs.com/ssltest/index.html
Compile apache con la última versión de OpenSSL para habilitar TLSv1.1 y TLSv1.2
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
SSLProtocol +TLSv1.1 +TLSv1.2
De acuerdo con el registro de cambios de OpenSSL , se agregó soporte para TLS 1.2 a la rama de desarrollo de OpenSSL 1.0.1, pero esta versión aún no se ha lanzado. Probablemente también se necesitarán algunos cambios en el código mod_ssl para habilitar realmente TLS 1.2 para Apache.
Otra biblioteca SSL / TLS de uso común es NSS ; es utilizado por un módulo Apache menos conocido mod_nss ; desafortunadamente, las versiones actuales de NSS tampoco son compatibles con TLS 1.2.
Otra biblioteca SSL / TLS es GnuTLS , y pretende admitir TLS 1.2 ya en su versión actual. Hay un módulo de Apache que usa GnuTLS: mod_gnutls , que también afirma ser compatible con TLS 1.2. Sin embargo, este módulo parece ser bastante nuevo y podría no ser muy estable; Nunca intenté usarlo.
No puede, OpenSSL todavía no ofrece una versión para TLS 1.1.
Un comentario pertinente sobre /. para este problema:
¿Le explicará amablemente a las masas sucias cómo implementaría el soporte TLS 1.1 y 1.2 en un mundo donde la biblioteca dominante OpenSSL aún no admite ninguno de los protocolos en sus versiones estables? Claro, puedes usar GnuTLS y mod_gnutls, y lo he intentado, pero no tenía sentido, ya que ningún navegador aparte de Opera lo soportaba y había algunos fallos extraños en el módulo. Se suponía que IE 8/9 los admitiría en Vista y 7, pero no pudo acceder al sitio servido por mod_gnutls cuando 1.1 y 1.2 se habilitaron en el lado del cliente. Lo intenté nuevamente ayer solo por curiosidad, y ahora incluso Opera 11.51 se ahoga en TLS 1.1 y 1.2. Por lo tanto, allí. Nada realmente es compatible con los protocolos. Debe esperar OpenSSL 1.0.1 para TLS 1.1 y nadie sabe cuándo llegará a los repositorios.
Adam Langley, un ingeniero de Google Chrome, señala que TLS 1.1 no habría resuelto este problema debido a un problema de implementación con SSLv3 que todos deben solucionar: los navegadores tienen que bajar a SSLv3 para admitir servidores defectuosos, y un atacante puede iniciar esto degradar.
http://www.imperialviolet.org/2011/09/23/chromeandbeast.html
Gnu_tls funciona de maravilla y también implementa SNI (Identificación del nombre del servidor), que es muy útil en el alojamiento virtual ...
No hay problema también para encontrar paquetes bin para mod_gnutls en distribuciones de linux, lo uso desde hace 2 años y no hay problemas, también es más eficiente que openssl imho.
Pero el problema también es que la mayoría de los navegadores no son compatibles con tls 1.1 o 1.2, así que comience a difundir la idea de actualizar los navegadores regularmente a las personas.