Answers:
TLS1.2现在可用于apache,只需添加https虚拟主机配置即可添加TLSs1.2:
SSLProtocol -all +TLSv1.2
-all 正在删除其他SSL协议(SSL 1,2,3 TLS1)
+TLSv1.2 正在添加TLS 1.2
为了提高浏览器的兼容性,您可以使用
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
顺便说一句,您也可以使用以下方法增加密码套件:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
您可以使用以下在线扫描器测试https网站的安全性:https : //www.ssllabs.com/ssltest/index.html
使用最新版本的OpenSSL编译Apache以启用TLSv1.1和TLSv1.2
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
SSLProtocol +TLSv1.1 +TLSv1.2
根据OpenSSL更新日志,对TLS 1.2的支持已添加到OpenSSL 1.0.1的开发分支中,但是此版本尚未发布。可能还需要对mod_ssl代码进行一些更改才能实际为Apache启用TLS 1.2。
另一个常用的SSL / TLS库是NSS;鲜为人知的Apache模块mod_nss使用它 ; 不幸的是,当前的NSS版本也不支持TLS 1.2。
另一个SSL / TLS库是GnuTLS,它假装为在当前版本中已经支持TLS 1.2。有一个使用GnuTLS的Apache模块:mod_gnutls,它也声称支持TLS 1.2。但是,该模块似乎是相当新的,可能不是很稳定。我从未尝试使用它。
您不能,OpenSSL尚不提供TLS 1.1的发行版。
关于/的一项相关评论。对于这个问题:
您是否能向广大用户解释一下,在一个主流库OpenSSL尚未在其稳定版本中支持这两种协议的情况下,您将如何实现TLS 1.1和1.2支持?当然,您可以使用GnuTLS和mod_gnutls,而我已经尝试过了,但是没有意义,因为除了Opera之外没有其他浏览器支持它,并且模块中存在一些奇怪的故障。IE 8/9本应在Vista和7下支持它们,但是当在客户端启用1.1和1.2时,无法访问由mod_gnutls服务的站点。出于好奇,我昨天再次尝试了此操作,现在,即使是Opera 11.51在TLS 1.1和1.2上也遇到了麻烦。所以那里。没有什么真正支持协议。必须等待TLS 1.1的OpenSSL 1.0.1,并且没人知道什么时候可以到达仓库。
Google Chrome工程师Adam Langley指出,由于SSLv3的实现问题(每个人都必须解决),因此TLS 1.1并不能解决此问题:浏览器必须降级到SSLv3以支持有漏洞的服务器,并且攻击者可以发起此攻击降级。
http://www.imperialviolet.org/2011/09/23/chromeandbeast.html