如何在Apache中禁用TLS 1.1和1.2？

我有一台运行Apache 2.2.22和mod_ssl和OpenSSL v1.0.1的Ubuntu 12.04.2 LTS服务器。

在我的vhosts配置中（其中所有其他行为均与我期望的一样），我有SSLProtocol一行-all +SSLv3。

使用该配置，启用了TLS 1.1和1.2并可以正常工作-这与我的直觉相反，因为我希望在该配置下仅启用S​​SLv3。

我可以通过启用/禁用TLSv1 -/+TSLv1，它可以按预期工作。但是+/-TLSv1.1，+/-TLSv1.2它们也不是有效的配置选项-所以我不能那样禁用它们。

至于我为什么要这样做-我正在处理一个第三方应用程序（我无法控制），该应用程序在启用TLS的服务器上有一些错误行为，因此我需要完全禁用它以继续前进。

对此错误引起了好奇（是的，我已经能够复制它），我查看了最新稳定版本的源代码mod_ssl并找到了解释。忍受我，这会导致业余堆栈过多：

当SSLProtocol被解析，这导致了char看起来像这样：

0 1 0 0
^ ^ ^ ^
| | | SSLv1
| | SSLv2
| SSLv3
TLSv1

启动新的服务器上下文后，将启用所有可用协议，并char使用一些漂亮的按位AND操作检查以上内容，以确定应禁用哪些协议。在这种情况下，如果SSLv3是唯一已明确启用的协议，则其他3个协议将被禁用。

OpenSSL支持TLSv1.1的协议设置，但是由于SSLProtocol不能解决此选项，因此永远不会被禁用。OpenSSL v1.0.1在TLSv1.2中存在一些已知问题，但是如果支持，我想与TLSv1.1一样。它不能被mod_ssl识别/处理，因此永远不会被禁用。

mod_ssl的源代码参考：

SSLProtocol在第925行中解析pkg.sslmod/ssl_engine_config.c
了以上功能中使用的选项，在第444行中定义了pkg.sslmod/mod_ssl.h
所有功能。在第586行中启用了所有协议，pkg.sslmod/ssl_engine_init.c此后在随后的行中禁用了特定协议

那么如何禁用它呢？

您有几种选择：

1. 使用以下命令在OpenSSL配置文件中将其禁用：
   Protocols All,-TLSv1.1,-TLSv1.2
2. 重写mod_ssl;-)

在mod_ssl Apache页面上的评论中也解决了该问题：http : //httpd.apache.org/docs/2.2/mod/mod_ssl.html#comment_1136

如果Ubuntu 12.04具有Apache 2.2.23，则不会发生此问题。根据评论，可以启用TLSv1.1和TLSv1.2，但随后也会启用TLSv1.0：

SSLProtocol All -SSLv2 -SSLv3

首先，您必须确定服务器中端口443的默认虚拟主机（Apache加载的第一个SSL虚拟主机）并编辑其配置文件。大多数用户的服务器中都有一个ssl.conf文件，并在其中配置了用于端口443的虚拟主机。由于此文件的名称以“ s”开头，因此它将在vhosts.conf（以“ v”开头）中配置的vhost之前加载。因此，请检查您是否遇到这种情况（几乎每个人的答案都是“是”），然后更改该文件中的协议。够了！

这里发布了类似的问题：如何在Apache中禁用TLS 1.1和1.2？。根据HBruijn：

除非您拥有IP虚拟主机，否则实际上，首次出现SSLProtocol指令的设置将用于整个服务器和/或所有支持TLS的基于名称的虚拟主机

这里还有另一个：是否可以在Apache中为单个VirtualHost（长卷毛狗）设置SSLProtocol？。根据vallismortis的说法：

您只能为配置文件中的第一个VirtualHost设置SSLProtocol。所有后续的VirtualHost条目都将从第一个条目继承该设置，并且由于OpenSSL错误而无视其自身的设置。

顺便说一句：对于给定的端口，服务器中的默认虚拟主机是响应该端口的请求的主机，该请求在没有服务器名称标识（或服务器名称错误）的情况下到达服务器。示例：在浏览器的地址栏中键入IP或由于错误的DNS表导致错误的重定向。