由于 SSLProtocol，httpd 失败：centos 上的非法协议 'TLSv1.1'

Posted 2023-02-25

【中文标题】由于 SSLProtocol，httpd 失败：centos 上的非法协议 \'TLSv1.1\'

【英文标题】：httpd failed due to SSLProtocol: Illegal protocol 'TLSv1.1' on centos由于 SSLProtocol，httpd 失败：centos 上的非法协议 'TLSv1.1'

【发布时间】：2017-05-28 10:10:34

【问题描述】：

我正在尝试将 TLS1 更新为 TLS1.1 或更高版本，但在进行以下更改后，出现错误“SSLProtocol: Illegal protocol 'TLSv1.1'”

我的 Apache 和 openssl 版本是：-

httpd -v

服务器版本：Apache/2.4.2 (Unix) 服务器搭建：2012年7月16日21:11:37

openssl 版本-a

OpenSSL 1.0.1e-fips 2013 年 2 月 11 日 建立时间：2016 年 9 月 27 日星期二 12:27:19 UTC

Centos 版本 (6.7)

rpm --query centos-release

centos-release-6-7.el6.centos.12.3.x86_64

对 ssl 进行了更改：-

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA -AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

SSL协议 -all +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2

SSLHonorCipherOrder 开启

我不确定这里缺少什么，有人可以在这里帮助我吗？

【问题讨论】：

另见Disabled RC4 and Qualys still says I have it enabledSuper User。

Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了，因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Super User 或Unix & Linux Stack Exchange 会是一个更好的提问地方。另见Where do I post questions about Dev Ops?

设置SSLProtocol -all -SSLv2 但您报告的openssl 版本目前不支持的还有一些密码，例如CHACHA 和POLY 密码。你也应该从那里得到错误。

我更正了我之前的评论，我的意思是SSLProtocol all -SSLv2（虽然你也应该禁止 SSLv3）

【参考方案1】：

Apache 安装时必须使用 OpenSSL 进行编译。

您的 Apache 显然是在 2012 年 7 月 16 日编译的，当时 Apache 1.0.1 还没有发布。所以猜测它是使用不支持 TLSv1.1 的先前版本（0.9.8）编译的。

在未来的某个时候，有人将 OpenSSL 升级到更高版本，但没有重新编译 Apache。

由于 Apache 2.4 早在 2012 年就无法作为打包版本提供，因此必须有人手动安装它，并且从那以后它一直保留在那个旧版本上。我建议您在 yum 中查找支持的 2.4 版本，该版本现在可能可用或从源代码安装。