Apache拒绝包含TLS1.2

Question

我运行openssl0.9.8很长时间了，突然我的ssl给了我一个红色X。来自我购买SSL的公司，他们告诉我，我需要更新我的服务器配置，以包含tls1.2，还需要使用SHA2重新生成证书。

由于apt-get更新没有更新openssl，所以我手动编译了它，现在使用版本1.0.1j。我可以使用tls1.2通过VPS连接到，但是即使我在我的apache配置中包括了SSLProtocols -all并重新启动了服务器，https://www.ssllabs.com/ssltest/仍然报告说我的服务器没有使用tls1.2。

我排除了sslv2 + v3，变化很好。仍然不能使用tls1.2虽然。

有什么想法吗？Apache版本为2.2，运行debian 6，PHP5-FPM

Answer 1

Debian6(Debian挤压)是一个旧Debian版本，它不包括更新的实用程序，如OpenSSL 1.0.1及以上。像OpenSSL 0.9.8这样的公共事业公司将在2016年2月之前收到安全更新。现在就计划您的迁移到Debian稳定。

如果您在编译像OpenSSL这样的实用程序并在Apache中替换它们方面不是很有经验的话，不要这样做--你正在把自己挖进一个坑里，你可能会破坏你的系统。

unix.stackexchange.com的贾尔斯说得很清楚：

Debian挤压不再是最新的，因此您不能期望程序的最新版本可供使用。如果您确实需要openssl命令行工具，您可以重新编译它，但是要考虑是否真的需要它:没有那么多新特性。如果这是你所关心的，那么仍然有针对挤压的安全更新。