Включение TLS1.3 в Apache - PullRequest
Новая
       11

Включение TLS1.3 в Apache

0 голосов
/ 13 сентября 2018

Поскольку поддержка TLS1.3 в OpenSSL 1.1.1, которая была выпущена 11 сентября 2018 года, мне интересно, смогу ли я получить свой сервер Apache2 для его поддержки, чтобы мои посетители могли получить выгоду от повышения безопасности и скорости.

Я понимаю, что есть несколько способов сделать это:

  1. Бэкпорт Apache, в котором он есть, но разве не потенциально небезопасно запускать такого рода неофициальные frankenware?Я также не могу найти его.

  2. Подождите, пока не выйдет версия Apache2, которая ее поддерживает, а затем скомпилируйте ее из исходного кода и установите.К сожалению, я не могу найти информацию о том, когда это выйдет или если оно уже существует, и какую версию я должен загрузить.

  3. Настройте конфигурацию Apache2 для использования других библиотек openssl (отдельно установленных и скомпилированных изисточник).Здесь, опять же, я не могу найти инструкции о том, как это сделать.

Я ожидаю, что этот вопрос довольно скоро появится в ближайшем будущем, поэтому я надеюсь получить исчерпывающий ответ на этот вопрос.все, кто намеревается поддерживать TLS1.3.

PS Я также не уверен, использует ли Apache2 установленную библиотеку OpenSSL или имеет скомпилированный собственный модуль (во многом аналогично PHP)?

1 Ответ

0 голосов
/ 12 ноября 2018

Начиная с версии Apache 2.4.36 (в настоящее время 2.4.37) была добавлена ​​поддержка TLS1.3. В сочетании с OpenSSL 1.1.1 вы можете включить поддержку для него в любое время после обновления обоих. В вашем SSL.conf вы должны внести несколько небольших изменений.

SSLProtocol -all +TLSv1.2 +TLSv1.3 #You don't have to explicitly enable it, but this can be considered secure SSLCipherSuite EECDH+AES256-GCM:EDH+AES256-GCM:AES256+EECDH:AES256+EDH:!AES128 #these secure suites are used up to TLS1.2 SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384 #these suites are used for TLS1.3 only

Если вы не хотите указывать наборы для TLS1.3, по умолчанию 3 набора

  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_GCM_SHA256

используются (в таком порядке). Я изменил это для моего конфига, так как я хотел избавиться от всех наборов AES128. Если вы согласны с настройками по умолчанию, то для начала достаточно просто обновить Apache и OpenSSL. Qualys SSL Test должен подтвердить, включен ли TLS1.3 и т. Д.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...