常連

サーバのopensslの使用可能暗号スイートを確認すると、TLSが表示されませんでした。
TLSを使用して他サーバと接続する必要があるため、TLSを有効にする方法を教えていただけませんでしょうか。
ググってみたのですが解決出来なかったので、質問させていただきます。


$ openssl ciphers -v
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
KRB5-DES-CBC3-MD5       SSLv3 Kx=KRB5     Au=KRB5 Enc=3DES(168) Mac=MD5
KRB5-DES-CBC3-SHA       SSLv3 Kx=KRB5     Au=KRB5 Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
以下省略。SSL3のみでTLS無し


SSL3を禁止しているサーバに接続を試すと、エラーになります。
$ openssl s_client -connect hogehoge.net:443 -showcerts
CONNECTED(00000003)
2866:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:


・動作環境
$ cat /etc/redhat-release
CentOS release 5.7 (Final)

$ openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
opensslはyumでインストールしたものを、特に設定せずに使用しています。


お手数をお掛けしますが、よろしくお願いいたします。

opensslでtlsを有効にする方法

### 環境
- OS：CentOS Linux release 7.7.1908 (Core)
- AWS環境
- 用途：社内ツールサーバ（Apache,MySQL）

### 実現したいこと
OpenSSLのバージョンアップを試行しています。
1.0.2kのOpenSSLを使用していますが、
今回1.1.1dにバージョンアップしようとしています。

### 現状
恥ずかしながら、システム経験が浅く知識がないため、
基本的にこのような込み入った作業時にはインターネット上の文献を参考にしながら
作業を行っています。

今回の参考文献は以下の通りです。
- [OpenSSLを最新版へバージョンアップ(＋OpenSSH)](https://bacchi.me/linux/reinstall-openssl/)
- [OpenSSL バージョンアップ後も旧バージョンが居座り続ける問題](https://server.etutsplus.com/openssl-version-up-trouble/)
- [UbuntuでOpenSSLを最新バージョンにする](http://www.trusted-design.net/archives/933/)

上記「OpenSSLを最新版へバージョンアップ(＋OpenSSH)」の文献を基に、
「OpenSSL-1.0.1iのインストール」の項目のコマンドの流れの通りに実行しました。

### 発生している問題
`openssl version`コマンドを実行した際には、
今回インストールした「**OpenSSL 1.1.1d  10 Sep 2019**」が表示されました。

しかし、以下のコマンドを実行した際には、旧バージョンが表示されます。
```
[root@test_server ~]# rpm -qa | grep openssl
openssl-libs-1.0.2k-19.el7.x86_64
openssl-1.0.2k-19.el7.x86_64
openssl-devel-1.0.2k-19.el7.x86_64
```
```
[root@test_server ~]# yum list installed | grep openssl
Repository epel is listed more than once in the configuration
openssl.x86_64                 1:1.0.2k-19.el7                 @base
openssl-devel.x86_64           1:1.0.2k-19.el7                 @base
openssl-libs.x86_64            1:1.0.2k-19.el7                 @base
```

### 補足
他文献を読んでいると、OpenSSLはバージョンアップしない方がよいとか、
依存しているアプリケーションが動作しなくなるとか言われているものもありますが、
その明確な理由もイマイチ分かっていません。

そもそも脆弱性が出ているのにバージョンをあげなくてよい状況はあるのでしょうか。
※自社システムが脆弱性の対象外である場合を除いて

### その他
情報の不備や知識不足に伴う認識の齟齬等があるかもしれませんが、
是非ご協力いただけますと幸いですm(_ _)m

###追記(2019/12/2)
CentOSについては、バックポートがされているという情報より、
手動での1.1.1系へのバージョンアップは行わない方針になりそうですが、以下の点が気になります。

1. 実際にバックポートしているという公式の文献はあるのでしょうか？
　　`rpm -q --changelog openssl`で更新履歴は確認済みですが、
　　今回調査対象としている自社のサーバでは、
　　「CVE-2019-1547」「CVE-2019-1563」の2つについては、
　　更新履歴が確認できませんでした。※[上記CVEについての参考文献](https://jvn.jp/vu/JVNVU94367039/)
　※[CentOS公式](https://wiki.centos.org/Download)は拝見しましたが、この文献のどこの記述が
　いつまでバックポートするのかについての記述か分かっていません。。


2. [OpenSSLの公式](https://www.openssl.org/news/secadv/20190910.txt)によると、1.0.2系のサポートは**2019/12/31**をもって終了するとあります。
サポートが終了した場合はバックポートもされない認識で合っていますでしょうか？

OpenSSLバージョンアップ（1.0.2系⇒1.1.1系）

### 実現したいこと

HTTPSサーバーのSSL証明書を更新したい。

### 前提

証明書はdigicertで発行済み。

### 発生した疑問

証明書ファイルは手に入ったので既定の場所に配置するのですが、秘密鍵も置く必要がある思います。
この秘密鍵というのはCSRを作成したときの秘密鍵ということで認識あっていますでしょうか？

サーバーのSSL証明書を更新する際の秘密鍵について

Apache、SSLプロトコルを、TLS1.2のみに設定しようとしていますがエラーになり解決方法を探しています。

サーバの環境は以下の通りです。
```
[root@xxx-xxx-xxx-xxx conf.d]# uname -a
Linux xxx-xxx-xxx-xxx.example.com 2.6.18-238.el5 #1 SMP Thu Jan 13 15:51:15 EST 2011 x86_64 x86_64 x86_64 GNU/Linux
[root@xxx-xxx-xxx-xxx conf.d]# openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
```


変更前
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定ｈではTLS1.0のみ有効になります。

変更後
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol +TLSv1.2
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定では以下のエラーになります。

```ここに言語を入力
[root@xxx-xxx-xxx-xxx conf.d]# /etc/init.d/httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中: Syntax error on line 46 of /etc/httpd/conf.d/php.conf:
SSLProtocol: Illegal protocol 'TLSv1.2'
                                                           [失敗]
[root@xxx-xxx-xxx-xxx conf.d]# openssl s_client -connect 127.0.0.1:443
socket: Connection refused
connect:errno=29
```

何卒ご教授頂きたく質問します。

TLS1.2の有効化

いつもありがとうございます。
今回はPHPとOpenSSLで悩んでおり、お力をお借りしたいです。

**困っていること**
PHPのプログラムから、stream_socket_client()で同一サーバ上のPHPを実行しようとすると、OpenSSLでエラーとなり困っています。
> エラーメッセージ「stream_socket_client(): SSL operation failed with code 1. OpenSSL Error messages:\nerror:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed」
色々調べてみたのですが自分一人では解決できず、
・phpに正しい証明書の場所を認識させる方法
・stream_socket_client()を自己証明書だけで利用する設定方法
・あるいは、このエラーを無視する方法
について、皆様からアドバイス頂けると助かります。


**詳細状況**
PCのVMWare上に作成した環境なので、証明書はいわゆる自己証明書で、OpenSSLの標準のディレクトリ(/etc/pki/配下)には作成せず、別のディレクトリ/etc/test/pki/を作成（/etc/pkiと同じディレクトリ構成）し、crtファイルkeyファイルを各ディレクトリに格納しました。中間証明書はありません。
ブラウザからhttps通信ができることは確認済で、phpinfoを表示するphpプログラムもhttps通信で表示できています。
stream_socket_client()の利用は、snoopyクラス(ver2.0)を過去に利用したことがあったので、それを利用しています。

＜試してみたこと１＞
stream_socket_client()で証明書を無効にしようと思ったのですが、設定方法がよく分かっていない為か、verify_peer、verufy_perr_nameをfalseにしてもエラーを回避できませんでした。

        if ($this->scheme == 'https') {
            if (isset($this->cafile) || isset($this->capath)) {
                $context_opts['ssl'] = array(
                 ~~~~ 'verify_peer' => true,~~~~
                    'verify_peer' => false, 
                    'verify_peer_name' => false, 
                   'CN_match' => $this->host,
                    'disable_compression' => true,
                );
                if (isset($this->cafile))
                    $context_opts['ssl']['cafile'] = $this->cafile;
                if (isset($this->capath))
                    $context_opts['ssl']['capath'] = $this->capath;
            }
            $host = 'ssl://' . $host;
        }
        $context = stream_context_create($context_opts);

＜試してみたこと２＞
エラーメッセージをネットで調べていたところ、phpinfoのopenssl.cafile欄が空白だったのでエラーになっていたという方がおられたのを参考に確認したところ、私の環境でもopenssl.cafileが空白でした。
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-04-25/81c62b88-60c8-4f57-bdab-e49b93c5db21.png)
これが原因でそもそもstream_context_create()を実行するための情報が不足し、SSLのエラーになっているかと思い、php.iniで以下の様にcrtファイルを設定。httpdを再起動してみたのですが、phpinfoの内容が変わりません。
openssl.cafile=/etc/test/pki/tls/certs/localhost.crt


**環境：**
OS:RHEL8
Apache、OpenSSL、PHPいずれもSRPMからビルドしました。
Apacheは正常に起動中
OpenSSLの自己証明書も作成できておりhttpsでブラウザからサイトを確認できます。


このエラーについて、自分でも問題の切り分けが上手くできていないことを実感しているのですが、どうにもうまくいかず、日曜の夜中の質問で見てくださる方がいらっしゃればよいのですが…
不足情報等ありましたらご指摘くださいませ。

どうぞよろしくお願いいたします。


PHPで発生するSSLエラー(1416F086:SSL routines:tls_process_server_certificate:certificate verify failed)対応について

お世話になります。

opensslのバージョンアップでエラーとなって困ってしまっています。

OS:RedHatLinux 5.5
openssl:0.9.8 → 1.1.1
perl:5.32.1
gcc:4.1.2

https://www.openssl.org/source/openssl-1.1.1i.tar.gz
を解凍
./configure, makeはエラーなく実行
make testでエラー

Test Summary Report
-------------------
../test/recipes/80-test_ssl_new.t                (Wstat: 256 Tests: 29 Failed: 1)
  Failed test:  12
  Non-zero exit status: 1
Files=158, Tests=2633, 359 wallclock secs ( 3.03 usr  0.20 sys + 322.82 cusr 34.69 csys = 360.74 CPU)
Result: FAIL
make[1]: *** [_tests] Error 1
make[1]: Leaving directory `/usr/local/src/openssl-1.1.1i'
make: *** [tests] エラー 2

手探りで調べたところ
「OpenSSLのPROBLEMSファイルに書かれているワークアラウンドを適用しなければならない」
とありました。

が、OpenSSLのPROBLEMSファイルの意味もワークアラウンドの意味も調べても今一なにをどう対応すればよいかわかりません。

知見のある方のご意見を頂ければ幸いです。
以上、よろしくお願い致します。

OpenSSLバージョンアップ make test エラー

OpenSSLがかなり古いので、更新しようと思っています。

試しに開発環境で最新環境にしようとしていますが、
うまくいきません。

どなたかアドバイスいただけないでしょうか。

実施した方法は下記の通りです。
---
1. 「openssl version」でバージョンを確認する。

→「OpenSSL 1.0.1e-fips 11 Feb 2013」

2.「yum list | grep openssl」でバージョンを確認する。
→openssl.x86_64                             1.0.1e-30.el6.11             @updates
 openssl-devel.x86_64                    1.0.1e-30.el6.11             @updates

3. 「yum update openssl」でアップデートする。

4.「openssl version」でバージョンを確認する。
→「OpenSSL 1.0.1e-fips 11 Feb 2013」

5.「yum list | grep openssl」でバージョンを確認する。
→openssl.x86_64                             1.0.1e-42.el6                @base
 openssl.x86_64                             1.0.1e-42.el7                @base

※CentOS5をしています。バージョン確認はnginxのrestart後に実施しました。
---

確かにバージョンは上がっているのですが、最新バージョンにはならず…。
調べてみてもどうすればいいのかわかりませんでした。
どうかよろしくお願いいたします。

OpenSSLの更新について

CentOS6
OpenSSL 1.0.1e-fips 11

TLS1.2を対応する為、設定後の接続確認を行っています。
SSHにてサーバー接続後コマンドラインからの実行です。

openssl s_client -connect xxxxxxxxxx.jp:443 -tls1_2
で確認を行っています。

試しにPaypalのテストサイトへ接続すると。
# openssl s_client -connect tlstest.paypal.com:443 -tls1_2
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
verify return:1
接続出来ます。

ただ、上記の特定のサーバだけ
# openssl s_client -connect xxxxxxxxxx.jp:443 -tls1_2
socket: Connection timed out
connect:errno=110
とタイムアウトとなってしまいます。
先方のサーバーは問題無いの一点張りで、調査の方が行き詰ってしまいました。
何かサーバーの方で調査する箇所などあれば、ご教示頂けると助かります。

宜しくお願い致します。