TLS1.2 sekarang tersedia untuk apache, untuk menambahkan TLSs1.2 Anda hanya perlu menambahkan konfigurasi virtual host https Anda:
SSLProtocol -all +TLSv1.2
-all
menghapus protokol ssl lainnya (SSL 1,2,3 TLS1)
+TLSv1.2
menambahkan TLS 1.2
untuk lebih banyak kompatibilitas browser yang dapat Anda gunakan
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
omong-omong Anda dapat meningkatkan suite Cipher juga menggunakan:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
Anda dapat menguji keamanan situs web https Anda dengan pemindai online seperti:
https://www.ssllabs.com/ssltest/index.html
Kompilasi apache dengan OpenSSL versi terbaru untuk mengaktifkan TLSv1.1 dan TLSv1.2
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
sumber
Menurut changelog OpenSSL , dukungan untuk TLS 1.2 telah ditambahkan ke cabang pengembangan OpenSSL 1.0.1, tetapi versi ini belum dirilis. Mungkin beberapa perubahan juga akan diperlukan dalam kode mod_ssl untuk benar-benar mengaktifkan TLS 1.2 untuk Apache.
Pustaka SSL / TLS lain yang umum digunakan adalah NSS ; ini digunakan oleh mod_nss modul Apache yang kurang terkenal ; Sayangnya, rilis NSS saat ini juga tidak mendukung TLS 1.2.
Namun perpustakaan SSL / TLS lainnya adalah GnuTLS , dan perpustakaan itu berpura-pura mendukung TLS 1.2 yang sudah ada dalam rilisnya saat ini. Ada modul Apache menggunakan GnuTLS: mod_gnutls , yang juga mengklaim mendukung TLS 1.2. Namun, modul ini tampaknya agak baru, dan mungkin tidak terlalu stabil; Saya tidak pernah mencoba menggunakannya.
sumber
Anda tidak bisa, OpenSSL belum menawarkan rilis untuk TLS 1.1.
Satu komentar terkait pada /. untuk masalah ini:
http://it.slashdot.org/comments.pl?sid=2439924&cid=37477890
sumber
Adam Langley, seorang insinyur Google Chrome, menunjukkan bahwa TLS 1.1 tidak akan menyelesaikan masalah ini karena masalah implementasi dengan SSLv3 yang harus dihadapi semua orang: browser harus menurunkan versi ke SSLv3 untuk mendukung server kereta, dan penyerang dapat memulai ini downgrade.
http://www.imperialviolet.org/2011/09/23/chromeandbeast.html
sumber
Gnu_tls bekerja seperti pesona dan juga menerapkan SNI (Server Name Identification), yang sangat berguna dalam hosting virtual ....
Tidak masalah juga untuk menemukan paket bin untuk mod_gnutls di distro linux, saya menggunakannya sejak 2 tahun dan tidak ada masalah, itu juga lebih performan daripada openssl imho.
Tetapi masalahnya juga bahwa sebagian besar browser tidak mendukung tls 1.1 atau 1.2, jadi mulailah untuk meredakan gagasan tentang peningkatan peramban yang diatur secara resmi kepada orang-orang.
sumber