Angesichts einer wachsenden Anzahl von Sicherheitsproblemen, wie dem kürzlich angekündigten Browser-Exploit gegen SSL / TLS (BEAST), war ich gespannt, wie wir TLS 1.1 und 1.2 mit OpenSSL und Apache aktivieren können, um sicherzustellen, dass wir nicht angreifbar sind zu solchen Bedrohungsvektoren.
Antworten:
TLS1.2 ist jetzt für Apache verfügbar. Zum Hinzufügen von TLS1.2 müssen Sie lediglich Folgendes in die Konfiguration Ihres virtuellen https-Hosts einfügen:
SSLProtocol -all +TLSv1.2
-all entfernt ein anderes SSL-Protokoll (SSL 1,2,3 TLS1)
+TLSv1.2 fügt TLS 1.2 hinzu
Für mehr Browserkompatibilität können Sie verwenden
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
Übrigens können Sie die Cipher Suite auch erweitern, indem Sie:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
Sie können die Sicherheit Ihrer https-Website mit einem Online-Scanner wie dem folgenden testen: https://www.ssllabs.com/ssltest/index.html
Kompilieren Sie Apache mit der neuesten Version von OpenSSL, um TLSv1.1 und TLSv1.2 zu aktivieren
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
SSLProtocol +TLSv1.1 +TLSv1.2
Laut dem OpenSSL-Changelog wurde die Unterstützung für TLS 1.2 zum Entwicklungszweig von OpenSSL 1.0.1 hinzugefügt, aber diese Version ist noch nicht freigegeben. Möglicherweise sind auch einige Änderungen im mod_ssl-Code erforderlich, um TLS 1.2 für Apache zu aktivieren.
Eine weitere häufig verwendete SSL / TLS-Bibliothek ist NSS . es wird von einem weniger bekannten Apache-Modul mod_nss verwendet ; Leider unterstützen aktuelle NSS-Versionen auch TLS 1.2 nicht.
Eine weitere SSL / TLS-Bibliothek ist GnuTLS . Sie gibt vor, TLS 1.2 bereits in der aktuellen Version zu unterstützen. Es gibt ein Apache-Modul, das GnuTLS verwendet: mod_gnutls , das ebenfalls behauptet, TLS 1.2 zu unterstützen. Dieses Modul scheint jedoch ziemlich neu zu sein und ist möglicherweise nicht sehr stabil. Ich habe nie versucht, es zu benutzen.
Sie können nicht, OpenSSL bietet noch kein Release für TLS 1.1 an.
Ein einschlägiger Kommentar zu /. für diese Ausgabe:
Erklären Sie den ungewaschenen Massen bitte, wie Sie die TLS 1.1- und 1.2-Unterstützung in einer Welt implementieren würden, in der die dominierende Bibliothek OpenSSL noch keines der Protokolle in ihren stabilen Releases unterstützt? Natürlich können Sie GnuTLS und mod_gnutls verwenden, und ich habe es ausprobiert, aber es hat keinen Sinn gemacht, da kein Browser außer Opera dies unterstützte und es einige seltsame Pannen im Modul gab. IE 8/9 sollte sie unter Vista und 7 unterstützen, konnte jedoch nicht auf die von mod_gnutls bereitgestellte Site zugreifen, als 1.1 und 1.2 auf der Clientseite aktiviert waren. Ich habe es gestern aus Neugier erneut versucht und jetzt erstickt sogar Opera 11.51 unter TLS 1.1 und 1.2. Also da. Nichts unterstützt wirklich die Protokolle. Muss auf OpenSSL 1.0.1 für TLS 1.1 warten und niemand weiß, wann das die Repos treffen wird.
Adam Langley, ein Google Chrome-Ingenieur, weist darauf hin, dass TLS 1.1 dieses Problem aufgrund eines Implementierungsproblems mit SSLv3, das jeder umgehen muss, nicht gelöst hätte: Browser müssen auf SSLv3 downgraden, um fehlerhafte Server zu unterstützen, und ein Angreifer kann dies initiieren downgrade.
http://www.imperialviolet.org/2011/09/23/chromeandbeast.html
Gnu_tls funktioniert wie ein Zauber und implementiert auch SNI (Server Name Identification), was beim virtuellen Hosting sehr nützlich ist.
Kein Problem auch bin-Pakete für mod_gnutls in Linux-Distributionen zu finden, ich benutze es seit 2 Jahren und keine Probleme, es ist auch performanter als openssl imho.
Das Problem ist aber auch, dass die meisten Browser tls 1.1 oder 1.2 nicht unterstützen. Bitte beginnen Sie, die Idee, Browser regelmäßig für andere zu aktualisieren, zu verbreiten.