Debian 6s从apt-get openssl仍然在0.9.8(2010),并不支持TLS 1.1和TLS 1.2。 有没有什么为什么我不应该更新到最新的稳定1.0.1e? 或者,您build议使用TLS 1.1 / 2支持哪个版本。
是的,你应该更新。
具体来说,你应该更新到像Zoredache告诉你的 Debian 7(Wheezy)。
有很多依赖Apache的底层,完整的OS升级是做这个升级的“最简单的方法”。 从Debian 6开始,它也为您提供了许多其他安全性和function增强function。
如果你不想升级到Debian 7,你应该坚持使用旧的OpenSSL和Apache(考虑到这样做的所有含义)。 任何在Debian 6上进行的升级都必须“艰难地完成”。
如果你坚持这样做,你将需要下载Apache,OpenSSL和其他在你的web服务器上使用的辅助组件(PHP,Passenger,mod_perl等),并且基本上build立一个本地的OpenSSL,编译一个根据该SSL库自定义Apache构build,然后将所有辅助组件添加到您的自定义Apache环境中。
您当然会负责跟踪您自己的所有组件的安全更新,并根据需要重新安装/重新安装。
这也会让你的核心系统运行一个不同于你的Web服务器的OpenSSL(这对你来说可能是一个很大的问题,但是在你将来要进行故障排除的时候你需要知道这个问题。
这一切都是可以实现的,但是一步一步的指南已经超出了Server Fault的范围(坦率地说,如果你需要这样一个指南,你从来没有这样做过 – 这是一个中等先进的系统pipe理回到包pipe理之前的糟糕的日子里,如果你还没有达到这个水平的技能,你需要在沙盘环境中进行游戏,然后才能在生产环境中进行尝试)。