TLS1.2の有効化

Apache、SSLプロトコルを、TLS1.2のみに設定しようとしていますがエラーになり解決方法を探しています。

サーバの環境は以下の通りです。

[root@xxx-xxx-xxx-xxx conf.d]# uname -a
Linux xxx-xxx-xxx-xxx.example.com 2.6.18-238.el5 #1 SMP Thu Jan 13 15:51:15 EST 2011 x86_64 x86_64 x86_64 GNU/Linux
[root@xxx-xxx-xxx-xxx conf.d]# openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

変更前

shell
1<VirtualHost *:443>
2    DocumentRoot /var/www/html
3    ServerName www.example.com
4    SSLEngine on
5    SSLProtocol all -SSLv2 -SSLv3
6    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
7    SSLHonorCipherOrder on
8    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
9    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
10    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
11    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
12</VirtualHost>

上記設定ｈではTLS1.0のみ有効になります。

変更後

shell
1<VirtualHost *:443>
2    DocumentRoot /var/www/html
3    ServerName www.example.com
4    SSLEngine on
5    SSLProtocol +TLSv1.2
6    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
7    SSLHonorCipherOrder on
8    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
9    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
10    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
11    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
12</VirtualHost>

上記設定では以下のエラーになります。

[root@xxx-xxx-xxx-xxx conf.d]# /etc/init.d/httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中: Syntax error on line 46 of /etc/httpd/conf.d/php.conf:
SSLProtocol: Illegal protocol 'TLSv1.2'
                                                           [失敗]
[root@xxx-xxx-xxx-xxx conf.d]# openssl s_client -connect 127.0.0.1:443
socket: Connection refused
connect:errno=29

何卒ご教授頂きたく質問します。

行動規範の内容に同意します

回答3件

TLSv1.1 および TLSv1.2 は、OpenSSL 1.0.1 以降でサポートされています。
参考：mod_ssl ディレクティブ
ですので

OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

これでは通らなくて当然です。OpenSSL を 1.0.2 系に移行してください。

投稿2018/06/29 02:39

tacsheaven

総合スコア13703

お使いの Opne SLLのバージョンは、0.9.8eです。

[root@xxx-xxx-xxx-xxx conf.d]# openssl version

OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

Open SSLで TLS1.2に対応しているのは、openssl-1.0.1e以降のバージョンです。

OpenSSL 0.9.8は、TLS1.2に対応していない(TLS1.0まで対応)ので、"Illegal protocol 'TLSv1.2'"というエラーメッセージが出ているのです。

「上記設定ではTLS1.0のみ有効になります」というのも、OpenSSL 0.9.8がTLS1.0までしか対応していないからです。

Open SSLのバージョンを1.0.1e以降のものに上げれば、 TLS1.2が使えるようになります。

投稿2018/06/29 02:40

coco_bauer

総合スコア6915

ベストアンサー

OpenSSLがTLS 1.2に対応したのは、OpenSSL 1.0.1からなので（Changelog）、OpenSSL 0.9.8の環境ではTLS 1.2を使えません。

「el5」、つまりRHEL5（クローンも含めて）のアップデートはすでに打ち切られています。サーバOSごと入れ替えたほうがいいかもしれません。

投稿2018/06/29 02:40

maisumakun

総合スコア145930

maisumakun

2018/06/29 03:09

「OpenSSLだけ入れ替える」という選択肢もないわけではないのですが、単に実行ファイルだけ差し替えればいいものではなくて、OpenSSLを使うアプリケーション（ApacheやPHPなど、およそHTTPSアクセスを行うすべてのアプリケーション）を再コンパイルする必要が出てきますので、そこまで手間をかけるならOSごとのアップデートのほうがいい、となりそうなレベルです。