OpenSSL 和 TLS 1.1 和 TLS 1.2 - 我應該更新嗎?
來自 apt-get 的 Debian 6s openssl 仍在 0.9.8 (2010) 上,不支持 TLS 1.1 和 TLS 1.2。有什麼我不應該更新到最新的穩定版 1.0.1e 的原因嗎?或者,你會推薦哪個版本支持 TLS 1.1/2。
是的,你應該更新。具體來說,您應該像 Zoredache 告訴您的那樣
更新到 Debian 7 (Wheezy) 。 Apache 底層有很多依賴項,完整的作業系統升級是進行此升級的“最簡單方法”。它還為您提供了自 Debian 6 以來所做的許多其他安全性和功能增強。
如果您不想升級到 Debian 7,您可能應該堅持使用舊的 OpenSSL 和 Apache(記住這樣做的所有含義)。在 Debian 6 上完成的任何升級都必須“艱難地”完成。
如果你堅持這樣做,你需要下載 Apache、OpenSSL 和你在 Web 伺服器中使用的任何其他輔助組件(PHP、Passenger、mod_perl 等),並且基本上建構一個本地 OpenSSL,編譯一個針對該 SSL 庫建構自定義 Apache,然後將所有輔助組件添加到您的自定義 Apache 環境中。
當然,您隨後將負責自行跟踪所有這些組件的安全更新,並在必要時重新建構/重新安裝它們。
它還使您的核心系統執行與您的 Web 伺服器不同的 OpenSSL(這對您來說可能是也可能不是一個大問題 - 但這是您在將來進行故障排除時需要注意的事情。
這當然是可行的,但是分步指南超出了 Server Fault 的範圍(坦率地說,如果您需要這樣的指南,那麼您一開始就沒有業務 - 它是中等高級的系統管理,例如回到包管理之前的糟糕時代,如果你沒有達到那種水平的技能,你需要在沙盒環境中玩,然後再在生產中嘗試)。