Risposte:
TLS1.2 è ora disponibile per apache, per aggiungere TLSs1.2 è sufficiente aggiungere nella configurazione dell'host virtuale https:
SSLProtocol -all +TLSv1.2
-all
sta rimuovendo altri protocolli SSL (SSL 1,2,3 TLS1)
+TLSv1.2
sta aggiungendo TLS 1.2
per una maggiore compatibilità del browser è possibile utilizzare
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
tra l'altro puoi aumentare anche la suite Cipher usando:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
Puoi testare la sicurezza del tuo sito Web https con uno scanner online come: https://www.ssllabs.com/ssltest/index.html
Compila apache con l'ultima versione di OpenSSL per abilitare TLSv1.1 e TLSv1.2
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
SSLProtocol +TLSv1.1 +TLSv1.2
Secondo il log delle modifiche di OpenSSL , il supporto per TLS 1.2 è stato aggiunto al ramo di sviluppo di OpenSSL 1.0.1, ma questa versione non è ancora stata rilasciata. Probabilmente saranno necessarie anche alcune modifiche nel codice mod_ssl per abilitare effettivamente TLS 1.2 per Apache.
Un'altra libreria SSL / TLS comunemente usata è NSS ; è utilizzato da un modulo Apache meno noto mod_nss ; sfortunatamente, le attuali versioni di NSS non supportano TLS 1.2.
Un'altra libreria SSL / TLS è GnuTLS e finge di supportare TLS 1.2 già nella sua versione attuale. Esiste un modulo Apache che utilizza GnuTLS: mod_gnutls , che afferma anche di supportare TLS 1.2. Tuttavia, questo modulo sembra essere piuttosto nuovo e potrebbe non essere molto stabile; Non ho mai provato ad usarlo.
Non è possibile, OpenSSL non offre ancora una versione per TLS 1.1.
Un commento pertinente su /. per questo problema:
Spiegherai gentilmente alle masse non lavate come implementeresti il supporto TLS 1.1 e 1.2 in un mondo in cui la libreria dominante OpenSSL non supporta ancora nessuno dei protocolli nelle sue versioni stabili? Certo, puoi usare GnuTLS e mod_gnutls, e l'ho provato, ma non aveva senso, dato che nessun browser a parte Opera lo supportava e c'erano alcuni strani problemi nel modulo. Si supponeva che IE 8/9 li supportasse con Vista e 7, ma non riusciva ad accedere al sito servito da mod_gnutls quando 1.1 e 1.2 erano abilitati sul lato client. L'ho provato di nuovo ieri per curiosità, e ora anche Opera 11.51 soffoca su TLS 1.1 e 1.2. Quindi lì. Niente supporta veramente i protocolli. Deve attendere OpenSSL 1.0.1 per TLS 1.1 e nessuno sa quando colpirà i repository.
Adam Langley, un ingegnere di Google Chrome, sottolinea che TLS 1.1 non avrebbe risolto questo problema a causa di un problema di implementazione con SSLv3 che tutti devono aggirare: i browser devono eseguire il downgrade a SSLv3 per supportare i server con errori e un utente malintenzionato può iniziare questo downgrade.
http://www.imperialviolet.org/2011/09/23/chromeandbeast.html
Gnu_tls funziona come un incantesimo e implementa anche SNI (Server Name Identification), molto utile nell'hosting virtuale ....
Nessun problema anche a trovare pacchetti bin per mod_gnutls nelle distribuzioni di Linux, lo uso da 2 anni e nessun problema, è anche più performante di openssl imho.
Ma il problema è anche che la maggior parte dei browser non supporta tls 1.1 o 1.2, quindi si prega di iniziare a diffondere l'idea di aggiornare regolarmente i browser alle persone.