Q&A
「OpenSSLだけ入れ替える」という選択肢もないわけではないのですが、単に実行ファイルだけ差し替えればいいものではなくて、OpenSSLを使うアプリケーション(ApacheやPHPなど、およそHTTPSアクセスを行うすべてのアプリケーション)を再コンパイルする必要が出てきますので、そこまで手間をかけるならOSごとのアップデートのほうがいい、となりそうなレベルです。
Apache、SSLプロトコルを、TLS1.2のみに設定しようとしていますがエラーになり解決方法を探しています。
サーバの環境は以下の通りです。
[root@xxx-xxx-xxx-xxx conf.d]# uname -a Linux xxx-xxx-xxx-xxx.example.com 2.6.18-238.el5 #1 SMP Thu Jan 13 15:51:15 EST 2011 x86_64 x86_64 x86_64 GNU/Linux [root@xxx-xxx-xxx-xxx conf.d]# openssl version OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
変更前
shell
1<VirtualHost *:443> 2 DocumentRoot /var/www/html 3 ServerName www.example.com 4 SSLEngine on 5 SSLProtocol all -SSLv2 -SSLv3 6 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA 7 SSLHonorCipherOrder on 8 Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains" 9 SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt 10 SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key 11 SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca 12</VirtualHost>
上記設定hではTLS1.0のみ有効になります。
変更後
shell
1<VirtualHost *:443> 2 DocumentRoot /var/www/html 3 ServerName www.example.com 4 SSLEngine on 5 SSLProtocol +TLSv1.2 6 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA 7 SSLHonorCipherOrder on 8 Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains" 9 SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt 10 SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key 11 SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca 12</VirtualHost>
上記設定では以下のエラーになります。
[root@xxx-xxx-xxx-xxx conf.d]# /etc/init.d/httpd restart httpd を停止中: [ OK ] httpd を起動中: Syntax error on line 46 of /etc/httpd/conf.d/php.conf: SSLProtocol: Illegal protocol 'TLSv1.2' [失敗] [root@xxx-xxx-xxx-xxx conf.d]# openssl s_client -connect 127.0.0.1:443 socket: Connection refused connect:errno=29
何卒ご教授頂きたく質問します。
回答4件
0
TLSv1.1 および TLSv1.2 は、OpenSSL 1.0.1 以降でサポートされています。
参考:mod_ssl ディレクティブ
ですので
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
これでは通らなくて当然です。OpenSSL を 1.0.2 系に移行してください。
投稿2018/06/29 02:39
総合スコア13703
0
お使いの Opne SLLのバージョンは、0.9.8eです。
[root@xxx-xxx-xxx-xxx conf.d]# openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
Open SSLで TLS1.2に対応しているのは、openssl-1.0.1e以降のバージョンです。
OpenSSL 0.9.8は、TLS1.2に対応していない(TLS1.0まで対応)ので、"Illegal protocol 'TLSv1.2'"というエラーメッセージが出ているのです。
「上記設定ではTLS1.0のみ有効になります」というのも、OpenSSL 0.9.8がTLS1.0までしか対応していないからです。
Open SSLのバージョンを1.0.1e以降のものに上げれば、 TLS1.2が使えるようになります。
投稿2018/06/29 02:40
総合スコア6915
0
ベストアンサー
OpenSSLがTLS 1.2に対応したのは、OpenSSL 1.0.1からなので(Changelog)、OpenSSL 0.9.8の環境ではTLS 1.2を使えません。
「el5」、つまりRHEL5(クローンも含めて)のアップデートはすでに打ち切られています。サーバOSごと入れ替えたほうがいいかもしれません。
投稿2018/06/29 02:40
総合スコア145184
0
openssl-1.0.1e 以降のバージョンでは、TLS1.2 が Open SSL でサポートされています。
OpenSSL 0.9.8 では TLS1.2 がサポートされていないため (TLS1.0 のみをサポートしています)、「不正なプロトコル 'TLSv1.2'」というエラー メッセージが表示されます。
OpenSSL 0.9.8 は TLS1.0 のみをサポートしているため、「上記の設定では TLS1.0 のみが有効になります」。
Open SSL をバージョン 1.0.1e 以降にアップグレードすると、TLS1.2 を利用できます。 io games
投稿2023/09/11 03:40
総合スコア12
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。