Apache 2.0 + OpenSSL

OpenSSLは SSLv2/SSLv3/TLSv1 をサポートしているオープンソースの暗号化ライブラリ。もともとNetscape社が開発していたもので、最初のリリースがSSLv2だったため、バージョンは2からとのこと。

世界中のセキュリティ専門家さま達がSSLv2の脆弱性を指摘、それを修正したものがSSLv3となったそうな。

TLSv1はSSLv3をもとに作られたらしく SSLv3≒TLSv1 と考えていいみたい。じゃ、何が違うんだ??って思うのが普通だと思うけど、そこまで調べてないです。

ちなみに、IE6ではデフォルトはTLSがoffになってます。なぜだろ?

Apache 2.0 は標準でこの三つのプロトコルをサポートしてるので、何も考えなくてもデフォルトで使えちゃいます。もし使うプロトコルをSSLv3/TLSv1に限定したいなら apacheのSSL設定ファイル(httpd.confとかssl.conf)に

SSLProtocol  SSLv3 TLSv1

のように書いてあげればOK.

タイトルとURLをコピーしました