OpenSSL, TLS 1.1 и TLS 1.2 - нужно ли обновлять? [закрыто]
Debian 6s openssl от apt-get все еще находится на версии 0.9.8 (2010) и не поддерживает TLS 1.1 и TLS 1.2. Есть ли что-нибудь, почему мне не следует обновлять на последнюю стабильную 1.0.1e? Или какую сборку вы бы порекомендовали с поддержкой TLS 1.1 / 2.
Да, вам следует обновить.
В частности, вам следует выполнить обновление до Debian 7 (Wheezy) , как сказал вам Зоредак на .
Существует МНОГО зависимостей, лежащих в основе Apache, и полное обновление ОС ЯВЛЯЕТСЯ «самым простым способом» сделать это обновление. Он также дает вам множество других улучшений безопасности и функциональности, которые были сделаны после Debian 6.
Если вы не хотите обновляться до Debian 7, вам, вероятно, следует придерживаться старых OpenSSL и Apache (имея в виду все последствий этого). Любое обновление, выполненное на Debian 6, должно быть выполнено «трудным путем».
Если вы настаиваете на этом сложном пути, вам нужно будет загрузить Apache, OpenSSL и любые другие вспомогательные компоненты (PHP, Passenger, mod_perl, и т. д.), который вы используете на своем веб-сервере, и в основном создаете локальный OpenSSL, компилируете собственное здание Apache с этой библиотекой SSL, а затем добавляете все вспомогательные компоненты в свою настраиваемую среду Apache. Это также оставляет в вашей основной системе другой OpenSSL, чем на вашем веб-сервере (что может быть, а может и не быть для вас огромной проблемой, но это то, о чем вам нужно знать при устранении неполадок в будущем.
Все это, безусловно, выполнимо, но пошаговое руководство выходит за рамки для Server Fault (и, честно говоря, если вам понадобится такое руководство, вы не должны делать это с самого начала - это умеренно продвинутое системное администрирование, как в старые добрые времена до управления пакетами, и если вы не достигли этого уровня навыков, вам нужно поиграть в среде песочницы, прежде чем пытаться это сделать в производственной среде).