質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Q&A

解決済

1回答

30971閲覧

opensslでtlsを有効にする方法

hirumeshi

総合スコア12

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

2グッド

1クリップ

投稿2015/05/13 06:15

サーバのopensslの使用可能暗号スイートを確認すると、TLSが表示されませんでした。
TLSを使用して他サーバと接続する必要があるため、TLSを有効にする方法を教えていただけませんでしょうか。
ググってみたのですが解決出来なかったので、質問させていただきます。

$ openssl ciphers -v
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
KRB5-DES-CBC3-MD5 SSLv3 Kx=KRB5 Au=KRB5 Enc=3DES(168) Mac=MD5
KRB5-DES-CBC3-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
以下省略。SSL3のみでTLS無し

SSL3を禁止しているサーバに接続を試すと、エラーになります。
$ openssl s_client -connect hogehoge.net:443 -showcerts
CONNECTED(00000003)
2866:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:

・動作環境
$ cat /etc/redhat-release
CentOS release 5.7 (Final)

$ openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
opensslはyumでインストールしたものを、特に設定せずに使用しています。

お手数をお掛けしますが、よろしくお願いいたします。

naoyan, yodel👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

openssl-0.9.8e では TLS 1.0 まではサポートしていて、内部では、SSL_TLSV1 は SSL_SSLV3 と同じプロトコルバージョンとみなしているようです(ssl/ssl_locl.h)。そのため、"TLS1" は表示されないのだと思います。
openssl-1.0.1e では SSL_TLSV1_2 が追加され、区別するようになっています。

"openssl s_client" で接続できないのは、サーバー側で TLS 1.0 も禁止されているのではないでしょうか。その場合、クライアント側で openssl 1.0 以上が必要です。

投稿2015/05/13 08:22

TaichiYanagiya

総合スコア12141

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hirumeshi

2015/05/13 10:56

回答ありがとうございます。
hirumeshi

2015/05/13 14:35

回答ありがとうございます。 なるほど、内部的にはTLS1.0は実装されているのですね。 試しに -tls1 オプションを付けて接続を試したところ、接続できました。 $ openssl s_client -tls1 -connect hogehoge.net:443 -showcerts CONNECTED(00000003) depth=0 /C=JP/ST=Tokyo/L=~~~ 接続先のサーバを確認したところ、拒否しているのはSSLv3のみでした。 ・apacheのconf(ver.2.4.6) SSLProtocol All -SSLv3 また、IEをTLS1.0のみ使用する設定にしてもアクセス出来ました。 OpenSSL 0.9.8eの場合、明示的にtls1と指定しないとssl3での接続になってしまい、拒否されているのでしょうか。 tls1オプションを付けて回避するか、opensslのバージョンアップを行うべきか考えたいと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問