Ssl 在Apache中启用TLS1.3_Ssl_Openssl_Apache2

Ssl 在Apache中启用TLS1.3

ssl openssl apache2

Ssl 在Apache中启用TLS1.3,ssl,openssl,apache2,Ssl,Openssl,Apache2,由于2018年9月11日发布的OpenSSL 1.1.1中对TLS1.3的支持，我想知道是否可以让我的Apache2服务器支持它，这样我的访问者就可以从改进的安全性和速度中获益我知道有几种方法可以实现这一点： Apache的一个后端口有它，但是运行这种非官方的frankenware不是很不安全吗？我似乎也找不到它等到支持它的Apache2版本出来，然后从源代码处编译并安装它。不幸的是，我找不到关于何时发布、是否已经存在以及应该下载哪个版本的信息调整Apache2的配置以使用其他openss

由于2018年9月11日发布的OpenSSL 1.1.1中对TLS1.3的支持，我想知道是否可以让我的Apache2服务器支持它，这样我的访问者就可以从改进的安全性和速度中获益

我知道有几种方法可以实现这一点：

Apache的一个后端口有它，但是运行这种非官方的frankenware不是很不安全吗？我似乎也找不到它

等到支持它的Apache2版本出来，然后从源代码处编译并安装它。不幸的是，我找不到关于何时发布、是否已经存在以及应该下载哪个版本的信息

调整Apache2的配置以使用其他openssl库（分别从源代码安装和编译）。在这里，再一次，我似乎找不到关于如何完成这项工作的说明

我预计这个问题在不久的将来会经常出现，因此我希望为所有打算支持TLS1.3的人征求一个详尽的答案

PS我也不确定Apache2是否使用已安装的OpenSSL库，或者是否编译了自己的模块（与PHP的编译方式大致相同）？

从Apache 2.4.36版开始（目前的版本是2.4.37）已经添加了对TLS1.3的支持。结合OpenSSL 1.1.1，您可以在更新两者后的任何时间启用对它的支持。在SSL.conf中，您应该做一些小的调整

SSLProtocol-all+TLSv1.2+TLSv1.3
#您不必显式地启用它，但这可以被认为是安全的
SSLCipherSuite EECDH+AES256-GCM:EDH+AES256-GCM:AES256+EECDH:AES256+EDH:！AES128
#这些安全套件用于TLS1.2
SSLCipherSuite TLSv1.3 TLS_CHACHA20_Poly 1305_SHA256:TLS_AES_256_GCM_SHA384
#这些套件仅用于TLS1.3

如果不想为TLS1.3指定套件，请使用默认的3个套件

TLS_AES_256_GCM_SHA384
TLS_CHACHA20_Poly 1305_SHA256
TLS_AES_128_GCM_SHA256

（按那个顺序）使用。我改变了我的配置，因为我想摆脱所有的AES128套件。如果您同意默认设置，那么基本上升级Apache和OpenSSL就足以让您开始使用。应确认TLS1.3是否启用等