常連

### 環境
- OS：CentOS Linux release 7.7.1908 (Core)
- AWS環境
- 用途：社内ツールサーバ（Apache,MySQL）

### 実現したいこと
OpenSSLのバージョンアップを試行しています。
1.0.2kのOpenSSLを使用していますが、
今回1.1.1dにバージョンアップしようとしています。

### 現状
恥ずかしながら、システム経験が浅く知識がないため、
基本的にこのような込み入った作業時にはインターネット上の文献を参考にしながら
作業を行っています。

今回の参考文献は以下の通りです。
- [OpenSSLを最新版へバージョンアップ(＋OpenSSH)](https://bacchi.me/linux/reinstall-openssl/)
- [OpenSSL バージョンアップ後も旧バージョンが居座り続ける問題](https://server.etutsplus.com/openssl-version-up-trouble/)
- [UbuntuでOpenSSLを最新バージョンにする](http://www.trusted-design.net/archives/933/)

上記「OpenSSLを最新版へバージョンアップ(＋OpenSSH)」の文献を基に、
「OpenSSL-1.0.1iのインストール」の項目のコマンドの流れの通りに実行しました。

### 発生している問題
`openssl version`コマンドを実行した際には、
今回インストールした「**OpenSSL 1.1.1d  10 Sep 2019**」が表示されました。

しかし、以下のコマンドを実行した際には、旧バージョンが表示されます。
```
[root@test_server ~]# rpm -qa | grep openssl
openssl-libs-1.0.2k-19.el7.x86_64
openssl-1.0.2k-19.el7.x86_64
openssl-devel-1.0.2k-19.el7.x86_64
```
```
[root@test_server ~]# yum list installed | grep openssl
Repository epel is listed more than once in the configuration
openssl.x86_64                 1:1.0.2k-19.el7                 @base
openssl-devel.x86_64           1:1.0.2k-19.el7                 @base
openssl-libs.x86_64            1:1.0.2k-19.el7                 @base
```

### 補足
他文献を読んでいると、OpenSSLはバージョンアップしない方がよいとか、
依存しているアプリケーションが動作しなくなるとか言われているものもありますが、
その明確な理由もイマイチ分かっていません。

そもそも脆弱性が出ているのにバージョンをあげなくてよい状況はあるのでしょうか。
※自社システムが脆弱性の対象外である場合を除いて

### その他
情報の不備や知識不足に伴う認識の齟齬等があるかもしれませんが、
是非ご協力いただけますと幸いですm(_ _)m

###追記(2019/12/2)
CentOSについては、バックポートがされているという情報より、
手動での1.1.1系へのバージョンアップは行わない方針になりそうですが、以下の点が気になります。

1. 実際にバックポートしているという公式の文献はあるのでしょうか？
　　`rpm -q --changelog openssl`で更新履歴は確認済みですが、
　　今回調査対象としている自社のサーバでは、
　　「CVE-2019-1547」「CVE-2019-1563」の2つについては、
　　更新履歴が確認できませんでした。※[上記CVEについての参考文献](https://jvn.jp/vu/JVNVU94367039/)
　※[CentOS公式](https://wiki.centos.org/Download)は拝見しましたが、この文献のどこの記述が
　いつまでバックポートするのかについての記述か分かっていません。。


2. [OpenSSLの公式](https://www.openssl.org/news/secadv/20190910.txt)によると、1.0.2系のサポートは**2019/12/31**をもって終了するとあります。
サポートが終了した場合はバックポートもされない認識で合っていますでしょうか？

OpenSSLバージョンアップ（1.0.2系⇒1.1.1系）

Apache、SSLプロトコルを、TLS1.2のみに設定しようとしていますがエラーになり解決方法を探しています。

サーバの環境は以下の通りです。
```
[root@xxx-xxx-xxx-xxx conf.d]# uname -a
Linux xxx-xxx-xxx-xxx.example.com 2.6.18-238.el5 #1 SMP Thu Jan 13 15:51:15 EST 2011 x86_64 x86_64 x86_64 GNU/Linux
[root@xxx-xxx-xxx-xxx conf.d]# openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
```


変更前
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定ｈではTLS1.0のみ有効になります。

変更後
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol +TLSv1.2
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定では以下のエラーになります。

```ここに言語を入力
[root@xxx-xxx-xxx-xxx conf.d]# /etc/init.d/httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中: Syntax error on line 46 of /etc/httpd/conf.d/php.conf:
SSLProtocol: Illegal protocol 'TLSv1.2'
                                                           [失敗]
[root@xxx-xxx-xxx-xxx conf.d]# openssl s_client -connect 127.0.0.1:443
socket: Connection refused
connect:errno=29
```

何卒ご教授頂きたく質問します。

TLS1.2の有効化

### 本題
AlmaLinux9環境でAndroidの決済レシートの検証処理が成功しない


### 状況
AlmaLinux8のOpenSSL/1.1.1kの環境下で
```php
$result = openssl_verify($receipt, $signature, $key, OPENSSL_ALGO_SHA1)
```
を実行すると問題なく実行でき、$resultは **1（＝検証成功）** となるのですが、
AlmaLinux9のOpenSSL/3.0.7の環境下で完全に同じソースを実行すると
$resultは **-1（＝エラー）** になります。

openssl_error_string()を使用してエラーの内容を確認したところ、
```openssl_error_string
error:0480006C:PEM routines::no start line
error:03000098:digital envelope routines::invalid digest
```
とありました。
※PEMなどの内容はAlmaLinux8環境で成功するものとまったく同じものとなっており、
　環境差による結果の差異を考慮しなくて良いように値はすべてリテラルな文字列で定義しています。

**OPENSSL_ALGO_SHA1** を **OPENSSL_ALGO_SHA256** に変えると
$resultは **0（＝検証失敗）** となるので、
- OPENSSL_ALGO_SHA1 ⇒ 非推奨のレガシーアルゴリズムのため検証処理の実行に失敗
- OPENSSL_ALGO_SHA256 ⇒ レシートはSHA1が採用されているため、検証した結果、不一致
という状況にあるものと認識しております。

実行環境はPHP8.1.29です。

/etc/ssl/openssl.cnf を
```openssl.cnf
[provider_sect]
legacy = legacy_sect

[legacy_sect]
activate = 1
module = /usr/lib64/ossl-modules/legacy.so
```
とlegacy関連をコメントアウトし、
legacy.soへのパスを通すことでレガシーアルゴリズムが有効になるという記事があったので
こちらを設定し、phpinfo()で確認すると
```PHPinfo
MULTI_SSL	No
SSL Version	OpenSSL/3.0.7
libSSH Version	libssh/0.10.4/openssl/zlib

openssl
OpenSSL support	enabled
OpenSSL Library Version	OpenSSL 3.0.7 1 Nov 2022
OpenSSL Header Version	OpenSSL 3.0.7 1 Nov 2022
Openssl default config	/etc/pki/tls/openssl.cnf
Directive	Local Value	Master Value
openssl.cafile	no value	no value
openssl.capath	no value	no value

$_SERVER['SERVER_SOFTWARE']	Apache/2.4.57 (AlmaLinux) OpenSSL/3.0.7 SVN/1.14.1

OpenSSL	Stig Venaas, Wez Furlong, Sascha Kettler, Scott MacVicar, Eliot Lear
```
という表示となり、
```shell
openssl dgst -sha1 test.txt
```
とSHA1を使用しての処理が成功する状態になっているので
OpenSSLの設定としてはレガシーアルゴリズムの使用を有効にできているように見受けられるのですが、肝心の
```php
$result = openssl_verify($receipt, $signature, $key, OPENSSL_ALGO_SHA1)
```
が通らずに困っております。

### 追記
コメントにてご紹介いただいた記事にあった
```shell
update-crypto-policies --set DEFAULT:SHA1
```
を実行し、update-crypto-policies --show の結果が DEFAULT:SHA1 と表示される状況で動作確認をしてみましたが、結果は変わりませんでした。
--追記終了

そもそもSHA1で検証しようとしているのが間違いで、
「新しいエンドポイントにアクセスしてSHA256を採用したAndroidの決済レシートを受信する」など、
別の方法があったりするのでしょうか？

AlmaLinux9のOpenSSL/3.0.7でレガシーアルゴリズムを使用したい（Android決済レシートの検証）

いつもありがとうございます。
今回はPHPとOpenSSLで悩んでおり、お力をお借りしたいです。

**困っていること**
PHPのプログラムから、stream_socket_client()で同一サーバ上のPHPを実行しようとすると、OpenSSLでエラーとなり困っています。
> エラーメッセージ「stream_socket_client(): SSL operation failed with code 1. OpenSSL Error messages:\nerror:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed」
色々調べてみたのですが自分一人では解決できず、
・phpに正しい証明書の場所を認識させる方法
・stream_socket_client()を自己証明書だけで利用する設定方法
・あるいは、このエラーを無視する方法
について、皆様からアドバイス頂けると助かります。


**詳細状況**
PCのVMWare上に作成した環境なので、証明書はいわゆる自己証明書で、OpenSSLの標準のディレクトリ(/etc/pki/配下)には作成せず、別のディレクトリ/etc/test/pki/を作成（/etc/pkiと同じディレクトリ構成）し、crtファイルkeyファイルを各ディレクトリに格納しました。中間証明書はありません。
ブラウザからhttps通信ができることは確認済で、phpinfoを表示するphpプログラムもhttps通信で表示できています。
stream_socket_client()の利用は、snoopyクラス(ver2.0)を過去に利用したことがあったので、それを利用しています。

＜試してみたこと１＞
stream_socket_client()で証明書を無効にしようと思ったのですが、設定方法がよく分かっていない為か、verify_peer、verufy_perr_nameをfalseにしてもエラーを回避できませんでした。

        if ($this->scheme == 'https') {
            if (isset($this->cafile) || isset($this->capath)) {
                $context_opts['ssl'] = array(
                 ~~~~ 'verify_peer' => true,~~~~
                    'verify_peer' => false, 
                    'verify_peer_name' => false, 
                   'CN_match' => $this->host,
                    'disable_compression' => true,
                );
                if (isset($this->cafile))
                    $context_opts['ssl']['cafile'] = $this->cafile;
                if (isset($this->capath))
                    $context_opts['ssl']['capath'] = $this->capath;
            }
            $host = 'ssl://' . $host;
        }
        $context = stream_context_create($context_opts);

＜試してみたこと２＞
エラーメッセージをネットで調べていたところ、phpinfoのopenssl.cafile欄が空白だったのでエラーになっていたという方がおられたのを参考に確認したところ、私の環境でもopenssl.cafileが空白でした。
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-04-25/81c62b88-60c8-4f57-bdab-e49b93c5db21.png)
これが原因でそもそもstream_context_create()を実行するための情報が不足し、SSLのエラーになっているかと思い、php.iniで以下の様にcrtファイルを設定。httpdを再起動してみたのですが、phpinfoの内容が変わりません。
openssl.cafile=/etc/test/pki/tls/certs/localhost.crt


**環境：**
OS:RHEL8
Apache、OpenSSL、PHPいずれもSRPMからビルドしました。
Apacheは正常に起動中
OpenSSLの自己証明書も作成できておりhttpsでブラウザからサイトを確認できます。


このエラーについて、自分でも問題の切り分けが上手くできていないことを実感しているのですが、どうにもうまくいかず、日曜の夜中の質問で見てくださる方がいらっしゃればよいのですが…
不足情報等ありましたらご指摘くださいませ。

どうぞよろしくお願いいたします。


PHPで発生するSSLエラー(1416F086:SSL routines:tls_process_server_certificate:certificate verify failed)対応について

djangoの学習をしています。
pip install psycopgをしたところえげつないない量のエラーが出ました。

試したこと
brew install openssl

openssl version
LibreSSL 2.8.3

pip install wheel
pip install -r requirements.txt

見たサイト
https://stackoverflow.com/questions/39810479/pip-install-psycopg2-broken-warning-unused-function-dprintf


```ここに言語を入力
$ pip install psycopg2
Collecting psycopg2
  Using cached psycopg2-2.8.6.tar.gz (383 kB)
Building wheels for collected packages: psycopg2
  Building wheel for psycopg2 (setup.py) ... error
  ERROR: Command errored out with exit status 1:
   command: /Users/username/gurutake/myvenv/bin/python -u -c 'import sys, setuptools, tokenize; sys.argv[0] = '"'"'/private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-install-but0ki_e/psycopg2/setup.py'"'"'; __file__='"'"'/private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-install-but0ki_e/psycopg2/setup.py'"'"';f=getattr(tokenize, '"'"'open'"'"', open)(__file__);code=f.read().replace('"'"'\r\n'"'"', '"'"'\n'"'"');f.close();exec(compile(code, __file__, '"'"'exec'"'"'))' bdist_wheel -d /private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-wheel-zi04e14h
       cwd: /private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-install-but0ki_e/psycopg2/
  Complete output (151 lines):
  running bdist_wheel
  running build
  running build_py
  creating build
  creating build/lib.macosx-10.9-x86_64-3.8
  creating build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/_json.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/extras.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/compat.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/errorcodes.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/tz.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/_range.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/_ipaddress.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/_lru_cache.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/__init__.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/extensions.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/errors.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/sql.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  copying lib/pool.py -> build/lib.macosx-10.9-x86_64-3.8/psycopg2
  running build_ext
  building 'psycopg2._psycopg' extension
  creating build/temp.macosx-10.9-x86_64-3.8
  creating build/temp.macosx-10.9-x86_64-3.8/psycopg
  gcc -Wno-unused-result -Wsign-compare -Wunreachable-code -fno-common -dynamic -DNDEBUG -g -fwrapv -O3 -Wall -arch x86_64 -g -DPSYCOPG_VERSION=2.8.6 (dt dec pq3 ext lo64) -DPG_VERSION_NUM=120004 -DHAVE_LO64=1 -I/Users/takeshimakenta/gurutake/myvenv/include -I/Library/Frameworks/Python.framework/Versions/3.8/include/python3.8 -I. -I/usr/local/include -I/usr/local/include/postgresql/server -c psycopg/psycopgmodule.c -o build/temp.macosx-10.9-x86_64-3.8/psycopg/psycopgmodule.o
  gcc -Wno-unused-result -Wsign-compare -Wunreachable-code -fno-common -dynamic -DNDEBUG -g -fwrapv -O3 -Wall -arch x86_64 -g -DPSYCOPG_VERSION=2.8.6 (dt dec pq3 ext lo64) -DPG_VERSION_NUM=120004 -DHAVE_LO64=1 -I/Users/takeshimakenta/gurutake/myvenv/include -I/Library/Frameworks/Python.framework/Versions/3.8/include/python3.8 -I. -I/usr/local/include -I/usr/local/include/postgresql/server -c psycopg/green.c -o build/temp.macosx-10.9-x86_64-3.8/psycopg/green.o
  gcc -Wno-unused-result -Wsign-compare -Wunreachable-code -fno-common -dynamic -DNDEBUG -g -fwrapv -O3 -Wall -arch x86_64 -g -DPSYCOPG_VERSION=2.8.6 (dt dec pq3 ext lo64) -DPG_VERSION_NUM=120004 -DHAVE_LO64=1 -I/Users/takeshimakenta/gurutake/myvenv/include -I/Library/Frameworks/Python.framework/Versions/3.8/include/python3.8 -I. -I/usr/local/include -I/usr/local/include/postgresql/server -c psycopg/pqpath.c -o build/temp.macosx-10.9-x86_64-3.8/psycopg/pqpath.o
  psycopg/pqpath.c:138:17: warning: implicit conversion from enumeration type 'ConnStatusType' to different enumeration type 'ExecStatusType' [-Wenum-conversion]
                  PQstatus(conn->pgconn) : PQresultStatus(*pgres)));
                  ^~~~~~~~~~~~~~~~~~~~~~
  psycopg/pqpath.c:1717:11: warning: code will never be executed [-Wunreachable-code]
      ret = 1;
            ^
  psycopg/pqpath.c:1822:17: warning: implicit conversion from enumeration type 'ConnStatusType' to different enumeration type 'ExecStatusType' [-Wenum-conversion]
                  PQstatus(curs->conn->pgconn) : PQresultStatus(curs->pgres)));
                  ^~~~~~~~~~~~~~~~~~~~~~~~~~~~
  3 warnings generated.
  gcc -Wno-unused-result -Wsign-compare -Wunreachable-code -fno-common -dynamic -DNDEBUG -g -fwrapv -O3 -Wall -arch x86_64 -g -DPSYCOPG_VERSION=2.8.6 (dt dec pq3 ext lo64) -DPG_VERSION_NUM=120004 -DHAVE_LO64=1 -I/Users/takeshimakenta/gurutake/myvenv/include -I/Library/Frameworks/Python.framework/Versions/3.8/include/python3.8 -I. -I/usr/local/include -I/usr/local/include/postgresql/server -c psycopg/utils.c -o build/temp.macosx-10.9-x86_64-3.8/psycopg/utils.o
  gcc -Wno-unused-result -Wsign-compare -Wunreachable-code -fno-common -dynamic -DNDEBUG -g -fwrapv -O3 -Wall -arch x86_64 -g -DPSYCOPG_VERSION=2.8.6 (dt dec pq3 ext lo64) -DPG_VERSION_NUM=120004 -DHAVE_LO64=1 -I/Users/takeshimakenta/gurutake/myvenv/include -I/Library/Frameworks/Python.framework/Versions/3.8/include/python3.8 -I. -I/usr/local/include -I/usr/local/include/postgresql/server -c psycopg/bytes_format.c -o build/temp.macosx-10.9-x86_64-3.8/psycopg/bytes_format.o
  In file included from psycopg/bytes_format.c:82:
  In file included from ./psycopg/psycopg.h:38:
  ./psycopg/config.h:82:13: warning: unused function 'Dprintf' [-Wunused-function]
  static void Dprintf(const char *fmt, ...) {}
              ^
  1 warning generated.
  
 中略
  
  ld: library not found for -lssl
  clang: error: linker command failed with exit code 1 (use -v to see invocation)
  error: command 'gcc' failed with exit status 1
  ----------------------------------------
  ERROR: Failed building wheel for psycopg2
  Running setup.py clean for psycopg2
Failed to build psycopg2
Installing collected packages: psycopg2
    Running setup.py install for psycopg2 ... error
    ERROR: Command errored out with exit status 1:
     command: /Users/username/gurutake/myvenv/bin/python -u -c 'import sys, setuptools, tokenize; sys.argv[0] = '"'"'/private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-install-but0ki_e/psycopg2/setup.py'"'"'; __file__='"'"'/private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-install-but0ki_e/psycopg2/setup.py'"'"';f=getattr(tokenize, '"'"'open'"'"', open)(__file__);code=f.read().replace('"'"'\r\n'"'"', '"'"'\n'"'"');f.close();exec(compile(code, __file__, '"'"'exec'"'"'))' install --record /private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-record-59wgyjnu/install-record.txt --single-version-externally-managed --compile --install-headers /Users/username/gurutake/myvenv/include/site/python3.8/psycopg2
         cwd: /private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-install-but0ki_e/psycopg2/

    ----------------------------------------
ERROR: Command errored out with exit status 1: /Users/username/gurutake/myvenv/bin/python -u -c 'import sys, setuptools, tokenize; sys.argv[0] = '"'"'/private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-install-but0ki_e/psycopg2/setup.py'"'"'; __file__='"'"'/private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-install-but0ki_e/psycopg2/setup.py'"'"';f=getattr(tokenize, '"'"'open'"'"', open)(__file__);code=f.read().replace('"'"'\r\n'"'"', '"'"'\n'"'"');f.close();exec(compile(code, __file__, '"'"'exec'"'"'))' install --record /private/var/folders/bs/fmrg9c216kq1639684j2glb40000gn/T/pip-record-59wgyjnu/install-record.txt --single-version-externally-managed --compile --install-headers /Users/username/gurutake/myvenv/include/site/python3.8/psycopg2 Check the logs for full command output.
```

字数制限のため削っております足りないところがございましたらなんなりとおもうしつけください

psycopg2がpip installできない

サーバのopensslの使用可能暗号スイートを確認すると、TLSが表示されませんでした。
TLSを使用して他サーバと接続する必要があるため、TLSを有効にする方法を教えていただけませんでしょうか。
ググってみたのですが解決出来なかったので、質問させていただきます。


$ openssl ciphers -v
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
KRB5-DES-CBC3-MD5       SSLv3 Kx=KRB5     Au=KRB5 Enc=3DES(168) Mac=MD5
KRB5-DES-CBC3-SHA       SSLv3 Kx=KRB5     Au=KRB5 Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
以下省略。SSL3のみでTLS無し


SSL3を禁止しているサーバに接続を試すと、エラーになります。
$ openssl s_client -connect hogehoge.net:443 -showcerts
CONNECTED(00000003)
2866:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:


・動作環境
$ cat /etc/redhat-release
CentOS release 5.7 (Final)

$ openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
opensslはyumでインストールしたものを、特に設定せずに使用しています。


お手数をお掛けしますが、よろしくお願いいたします。

opensslでtlsを有効にする方法

__プログラムではなくインフラ側の質問となります。__

現在、TLS 1.0/1.1の無効化を行っております。
主にHTTPS、FTPS周りの通信に対して無効化を進めてましたが、
SFTPサービスをどのように考えたらよいか分からなくなり質問いたしました。

SFTPはSSHで動いているため、SSL/TLSとは無関係と考えておりましたが、
SFTPの構築に利用しているopensshがopensslに依存しているとのことで、
SSHの暗号化あたりにもSSL/TLSが利用されている可能性があるのかと思い分からなくなりました。

opensshがopensslに依存しているのは、SSHがSSL/TLSを利用しているからなのでしょうか。
それともSSHとSSL/TLSのプロトコルではなく、製品として何らかの機能を利用しているため依存しているのでしょうか。

opensshがopensslに依存しているのはSSL/TLSを利用しているということでしょうか。


### 質問
Linuxでscpのトンネルとしての機能するsshdについて
クライアント側とサーバ側とでどのようにしてホスト認証やクライアント認証などの
コンセンサスの取り方について
### 前提

Linuxにおいて
自動認証用のパスフレーズなしの秘密鍵を利用したSCPを行おうと思うのですが
scpを利用してパスフレーズを設定しない公開鍵を利用する場合
パスフレーズを設定していない秘密鍵と公開鍵を「ssh-kegen」コマンドで作成したうえで

-i オプション を利用して

scp -i 秘密鍵ファイル ファイル名 送信先のアドレス：ディレクトリパス
というコマンドを利用し
また
相手サーバのauthorized_keyには公開鍵一つにつきコマンドを一つを関連付けられるのでそこでscpを設定すればscpを利用できるということを参考書で読みました。


### 疑問
scpは裏でsshdが動作しているらしいのですが
クライアント側とサーバ側とでどのようにしてホスト認証やクライアント認証などの
コンセンサスをとっているのでしょうか？

**というのは**

リスト番号リスト参考書を確認するとサーバ側のauthorized_keyの鍵に
「command="scp -f ファイル名"」と追加することで公開鍵に対してコマンド設定が可能となるとのこと
scpはクライアント側で作成したパスフレーズなしの秘密鍵を利用してユーザ認証を行いますが
以下のコマンド
scp -i 秘密鍵ファイル ファイル名 送信先のアドレス：ディレクトリパス

これを実行することでどうしてサーバ側はコマンド設定をした公開鍵を選定できるのでしょうか？
authorized_keyの中身をみるとただの英数字の羅列な訳でしかも同じクライアント側の公開鍵を複数登録する
ということも可能なわけですよね？
で、しかも改めてコマンドを確認すると
秘密鍵をオプションで設定しているようです。
ということはLinuxのクライアント側で秘密鍵に対する公開鍵の紐づけがされているのでしょうか？
それで公開鍵を相手サーバ側に提示しているのでしょうか？

**それとも**

別の質問サイトでもこの質問をしたところ
scpはというのは
「sshd は、clinet より渡された鍵を元に authorized_keys から検索し適合した鍵、及び、トンネル設定があればそれに従います。」
「ssh 接続した、socket をトンネルに見立て、その中に別の自動車(scp)が通行しているイメージです。」なのだそうです。

ということでした
コマンド設定されているscpが使用する公開鍵をsshdで使用する共通鍵で暗号化して渡しているのでしょうか？


### 質問内容をまとめます
Linuxでscpで接続する際に利用する公開鍵のサーバ側での選定方法(今回の例だとコマンド付のパスフレーズなし)
Linuxでscpで接続する際に設定する秘密鍵に対して公開鍵は紐づけられているか否か

ちょっと漠然とした質問ですいません
どなたかSSHないしはSCPについてお詳しいかたはいらっしゃいませんでしょうか？

ここにより詳細な情報を記載してください。
