TLS1 と TLS1.1の無効化

前提・実現したいこと

CentOS6.5にてTLS1とTLS1.1を無効化したいのですが、confを書き換えてapacheをリスタートしても起動しません。

発生している問題・エラーメッセージ

httpdのエラーログに記載されている内容
Apache/2.2.15 (Unix) DAV/2 mod_ssl/2.2.15 OpenSSL/1.0.1e-fips configured -- resuming normal operations

該当のソースコード

現在confに記載されていて動作する記述
SSLProtocol All -SSLv2 -SSLv3

confを書き換えるとhttpdが起動しなくなる記述
SSLProtocol All -SSLv2 -SSLv3 -TLSv1

試したこと

パスフレーズを入力はできますが起動に失敗します。
パスフレーズは間違いありません。

confの VirtualHost ディレクティブ内に
SSLProtocolの記述があるとダメというサイトも見かけたので
VirtualHost外に記述しても改善しませんでした。

補足情報（FW/ツールのバージョンなど）

環境は以下の通りです
Centos6.5
Apache/2.2.15
mod_ssl/2.2.15
OpenSSL/1.0.1e-fips

行動規範の内容に同意します

回答3件

SSLProtocol All
の状態でTLSv1.2が対応しているかどうか確認してみてください。
$ openssl s_client -connect アドレス:ポート -tls1_2

あと、はっきりとしたことは言えませんが、confはvirtual host内に記述するように私はしています。

また、TLSv1.2だけを有効化したいのであれば、以下の記述だけで問題ないです。
SSLProtocol +TLSv1.2

投稿2019/03/31 20:52

ELBE

総合スコア305

june_223

2019/04/01 07:38

$ openssl s_client -connect アドレス:ポート -tls1_2 ↑こちらのコマンドをこのようにしましたが、使えないようです。 $ openssl s_client -connect xxx.xxx.xx.xx(IPアドレス):443 -tls1_2 ちなみにglobal signのSSLテストをするとtls1.2はyesになっています。

ikedas

2019/04/01 08:08 編集

TaichiYanagiyaさんの指摘が関係するのかも。つまりCentOSの当該バージョンのopensslでは-tls1_2オプションが使えないのかもしれない (mod_sslでTLSv1.2が使えないのではなく)。

june_223

2019/04/02 11:47

ありがとうざいます。おかげさまでTLSv1.2が使えないという切り分けができました。

行動規範の内容に同意します

バージョン・リリースを 2.2.15-39.el6.centos 以降にアップデートするとどうでしょうか？

(参考)
https://access.redhat.com/errata/RHBA-2014:1386
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=1034984

投稿2019/04/01 04:14

TaichiYanagiya

総合スコア12146

ikedas

2019/04/01 07:39

"httpd Cannot *Disable* TLSv1.2" となってますが…いいのかな

june_223

2019/04/01 07:44

Global signのSSLテストをするとTLS1.2はyesになっています。 TLSv1.2はこのまま使えるようにしておいて、TLSv1とTLSv1.1を無効化にしたいです。

TaichiYanagiya

2019/04/01 07:54

CentOS 6.5 に含まれる、{httpd,mod_ssl}-2.2.15-29.el6.centos で同様の事象を確認済みです。 /var/log/httpd/ssl_error_log には "[error] No SSL protocols available [hint: SSLProtocol]" と出力されました。

ikedas

2019/04/01 08:00

了解+1

行動規範の内容に同意します

ベストアンサー

つMozilla SSL Configuration Generator

投稿2019/03/31 21:57

nullpon

総合スコア5737

退会済みユーザー

2019/04/01 04:28

これ、絶対に伝わらないやつじゃんｗ

june_223

2019/04/01 07:34

Server Version とOpenSSL Versionを入力してみましたが、 SSLProtocol all -SSLv2 -SSLv3 と表示されました。-tls1を追加してconfに記載してみましたが、改善しません。

ikedas

2019/04/01 07:46

さらにSecurity profileをmodernにすると SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 となりました。結局-SSLv2は要るの? 要らないの?

退会済みユーザー

2019/04/01 10:36

version 突っ込んで、modern にカーソール合わせてみ。と思ったけど、なんかややこしいことになってるっぽい。コレ見ると、「2.2.23 以降」 https://svn.apache.org/repos/asf/httpd/httpd/branches/2.2.x/CHANGES コレ見ると、「2.2.15 以降」 https://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol ここで議論してるっぽいけど、よくわからんｗ https://github.com/mozilla/server-side-tls/issues/62

nullpon

2019/04/01 10:42

Apache/2.2.15は、TLSv1.1、TLSv1.2には対応していないので、TLSv1を有効にするしかありません。よって、表示の通りSSLProtocol all -SSLv2 -SSLv3が正解です。Modernをチェックするには、Apache/2.2.23以降が必要です。> awaiさん

nullpon

2019/04/01 11:06

Apache/2.2.19でSSLv2のサポートは削除されたので不要です。 > ikedasさん。

ikedas

2019/04/01 14:11 編集

知っているのならば、そういうことを回答の中で説明したらいいのでは (コメントは検索エンジンにも拾われないようです)。セキュリティについては「理由を知らなくてもウィザードで選べば答えが出る」みたいなのは危険だと思うんですよ。逆に、分かって使うのなら別に問題はないし便利ですよね。実際、mod_sslではなかったと思いますが、ALLを指定しなかったときはSSLv2が有効になってしまう (不合理な動作ですけどね) ものもかつてはあったおぼえがあるんで、「要るの? 要らないの?」は本当に気になったんです。

june_223

2019/04/02 11:49

みなさまありがとうございます。おかげさまでApache/2.2.23以降が必要ということで合点がいきました。はっきりとこのように記載してる情報がweb上にはありませんでしたので、大変助かりました。

退会済みユーザー

2019/04/02 12:36

2.2.15 以降で TLSv1.2 が利用できるって公式の記述があり、2.2.15 で実際使えたから Generator 修正しろって issue もあったので気になっていたのですが、2.2.23 以降でないと使用できないのですね。 change log が正しかったと。スッキリしました。

行動規範の内容に同意します

あなたの回答