我如何在Ubuntu服务器中为SSL连接启用 TLS 1.1和 1.2？ 我正在使用以下版本的Nginx 和openssl库。

$./nginx -v


nginx version: nginx/1.2.3$ openssl version -aOpenSSL 1.0.1 14 Mar 2012built on: Tue Jun 4 07:26:06 UTC 2013platform: debian-amd64


options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM


OPENSSLDIR:"/usr/lib/ssl"

首先，你需要在 nginx.conf 中激活 SSL/TLS:

server {


 listen 443 ssl;


 listen [::]:443 ssl;


 server_name example.org;



 ssl_certificate/etc/ssl/example.org.crt;


 ssl_certificate_key/etc/ssl/private/example.org.key;

两个 listen 行在你的IPv4和IPv6连接中启用 SSL。 如果你没有 IPv6，你可能会遗漏第二个 listen 行。

我假设你的服务器证书在 /etc/ssl 中。 如果你使用另一条路径，你会改变最后两条直线。

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

启用不同的TLS版本。 所有当前浏览器都可以使用 TLS1.2. 对旧浏览器我编写了一个小工具来启用安全设置。

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA;ssl_prefer_server_ciphers on;

第一行设置你的nignx应该使用的密码。 第二行首选服务器( 而不是客户) 端的密码套件。 所以你可以用 strong(er) 密码。

你可以在 TLS1.2 use，如果你愿意的话，你可以使用 TLS1.2.，你可以把你的网站加入到的proud proud proud。 ； )

但是，有几种方法可以改进设置。 我遵循这个德国指南安全 Nginx 配置。

我如何在Ubuntu服务器中为SSL连接启用 TLS 1.1和 1.2？

我相信有三个选择。

首先，不做任何事情，使用 12版的OpenSSL。 我相信现在支持 TLS 1.1，但是你仍然不会有 TLS 1.2.

其次，构建并维护自己的 PPA插件。 有一些关于在覆盖发行版包中使用定制软件包进行这样操作的说明？ completeness没有为Ubuntu和OpenSSL提供现有的个人包归档，这提供了完整的协议。

第三，升级到更高版本的Ubuntu，如 Ubuntu 14. 我正在尝试确定 Ubuntu 14现在是否能让它们全部启用。 请参见 14.OpenSSL和TLS协议？