在Apache中启用TLS1.3

Question

自2018年9月11日发布的TLS1.3支持OpenSSL 1.1.1以来，我想知道我是否能够让我的Apache2服务器支持它，这样我的访问者就可以从改进的安全性和速度中获益。

据我所知，有几种方法可以做到这一点：

1. 拥有它的Apache的后端，但是运行这种非官方的frankenware不是潜在的不安全吗？我似乎也找不到它。
2. 等到支持它的Apache2版本出来，然后从源代码编译它并安装它。不幸的是，我无法找到关于何时发布或是否已经存在的信息，以及我应该下载的版本。
3. 调整Apache2 2的配置以使用其他openssl库(单独安装并从源代码编译)。在这里，再一次，我似乎找不到关于如何做到这一点的指导。

我预计这个问题在不久的将来会经常出现，所以我希望为所有打算支持TLS1.3的人寻求一个详尽的答案。

PS，我也不确定Apache2是否使用已安装的OpenSSL库，或者它是否有自己的模块编译(就像它对OpenSSL所做的那样)？

Answer 1

从ApacheVersion2.4.36开始(目前的版本是2.4.37)，增加了对TLS1.3的支持。结合OpenSSL 1.1.1，您可以在两个更新之后的任何时候启用对它的支持。在您的SSL.conf中，您应该做一些小的调整。

SSLProtocol -all +TLSv1.2 +TLSv1.3 #You don't have to explicitly enable it, but this can be considered secure SSLCipherSuite EECDH+AES256-GCM:EDH+AES256-GCM:AES256+EECDH:AES256+EDH:!AES128 #these secure suites are used up to TLS1.2 SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384 #these suites are used for TLS1.3 only

如果不想为TLS1.3指定套件，默认的3套

• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_128_GCM_SHA256

(按这个顺序)使用。我改变了配置，因为我想摆脱所有的AES128套件。如果您对默认设置没有问题，那么基本上升级Apache和OpenSSL就足够让您开始工作了。Qualys SSL测试应确认是否启用TLS1.3等。