自2018年9月11日发布OpenSSL 1.1.1以来对TLS1.3的支持以来,我想知道是否可以让我的Apache2服务器来支持它,以便访问者可以从改进的安全性和速度中受益。
我了解有几种方法可以实现这一目标:
具有Apache的backport,但是运行这种非官方的frankenware并非不安全吗?我似乎也找不到。
等待直到支持它的Apache2版本问世,然后从源代码进行编译并安装它。不幸的是,我找不到有关何时发布或是否已经存在以及应该下载哪个版本的信息。
调整Apache2的配置以使用其他openssl库(从源代码单独安装和编译)。同样,在这里,我似乎找不到有关如何完成此操作的说明。
我希望这个问题在不久的将来会经常出现,因此我希望为打算支持TLS1.3的每个人征集详尽的答案。
PS我还不确定Apache2是否使用已安装的OpenSSL库或是否已编译了自己的模块(与PHP的方式大致相同)?
答案 0 :(得分:1)
从Apache版本2.4.36(当前当前为2.4.37)开始,已添加了对TLS1.3的支持。与OpenSSL 1.1.1结合使用时,您可以在同时更新两者之后随时启用对此功能的支持。在SSL.conf中,您应该进行一些小的调整。
SSLProtocol -all +TLSv1.2 +TLSv1.3
#You don't have to explicitly enable it, but this can be considered secure
SSLCipherSuite EECDH+AES256-GCM:EDH+AES256-GCM:AES256+EECDH:AES256+EDH:!AES128
#these secure suites are used up to TLS1.2
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384
#these suites are used for TLS1.3 only
如果您不想为TLS1.3指定套件,则默认为3个套件。
(按此顺序)。我想更改所有配置,因为我想摆脱所有AES128套件。 如果您可以使用默认设置,那么基本上升级Apache和OpenSSL就足以开始使用。 Qualys SSL Test应确认是否已启用TLS1.3等。