Свежий Openssl и TLS 1.2 на Debian 6.0.10 (squeeze)

0

1

Цель: заставит работать TLS 1.2 Есть сервер на Debian 6.0.10, обновил openssl до 1.0.1e-2 А TLS 1.2 всё равно не работает, проверял тут

Параметры сервера: nginx/1.8.0 Apache/2.2.16 (Debian)

root@server:~# dpkg-query -l | egrep 'openssl|sslib|libssl'
ii  libssl-dev                           1.0.1e-2+deb7u20                             SSL development libraries, header files and documentation
ii  libssl0.9.8                          0.9.8o-4squeeze14                            SSL shared libraries
ii  libssl1.0.0                          1.0.1e-2+deb7u20                             SSL shared libraries
iU  libssl1.0.0-dbg                      1.0.1e-2+deb7u20                             Symbol tables for libssl and libcrypto
iU  openssl                              1.0.1e-2+deb7u20                             Secure Socket Layer (SSL) binary and related cryptographic tools

Простой вывод версии Опенссл:

root@server:~# openssl version
OpenSSL 1.0.1e 11 Feb 2013

В nginx.conf всё что нужно, прописано:

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA384;
ssl_ecdh_curve secp384r1;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';

TLS 1.2 не хочет работать

Ссылка

←

учебник

Arch linux озу переполняется

→

В порядке бреда местами TLSv1 TLSv1.1 TLSv1.2 не пробовал менять?

Еще меня смущает libssl0.9.8 в выводе.

Radjah ★★★★★
(11.09.17 16:17:30 MSK)
Последнее исправление: Radjah 11.09.17 16:20:30 MSK (всего исправлений: 1)

Сделай ldd $(which nginx)
Наверняка в выхлопе не будет openssl. То есть openssl к nginx прибит статически.
Так что бери nginx от дистрибутива поновее и ставь его насильно, либо пересобирай из исходников с новой openssl и дальше обновляй его тоже руками.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Сейчас уже «ssl_protocols TLSv1.2 TLSv1.3;» актуально.

imul ★★★★★
(11.09.17 16:50:30 MSK)
Последнее исправление: imul 11.09.17 16:53:10 MSK (всего исправлений: 1)

Ответ на: комментарий от Radjah 11.09.17 16:17:30 MSK

TLS 1.2 не работает

пробовал, вот текущий конфиг, не заводится, пробовал вообще его исключить (TLSv1), тогда сайт перестаёт работать.


		include /usr/local/ispmgr/etc/nginx.inc;
		ssl_certificate /var/www/httpd-cert/servant/site.ru.chained.crt;
		ssl_certificate_key /var/www/httpd-cert/servant/site.ru.key;
		ssl_dhparam /etc/ssl/dh4096.pem;
		ssl_session_timeout 1d;
		ssl_session_cache shared:SSL:20m;
		ssl_session_tickets off;
		ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
		ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA384:!MD5;
		ssl_ecdh_curve secp384r1;
		ssl_prefer_server_ciphers on;
		ssl_stapling on;
		ssl_stapling_verify on;
		resolver 8.8.8.8;
		add_header Strict-Transport-Security 'max-age=63072000; includeSubDomains; preload';
		add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
[\code]

Parlixon
(11.09.17 16:50:54 MSK) автор топика

Ссылка

Ответ на: комментарий от imul 11.09.17 16:50:30 MSK

Вот что выдало:


root@server:~# ldd `which nginx` | grep ssl
        libssl.so.0.9.8 => /usr/lib/libssl.so.0.9.8 (0x00007fb8a4a37000)

Parlixon
(11.09.17 17:01:39 MSK) автор топика

Ответ на: комментарий от Parlixon 11.09.17 17:01:39 MSK

Пересобирать nginx с новым openssl?

Parlixon
(11.09.17 17:03:54 MSK) автор топика

Ответ на: комментарий от Parlixon 11.09.17 17:01:39 MSK

libssl.so.0.9.8

Ну вот и ответ на твой вопрос. То есть проблема в nginx.
Меняй его. Либо пересобирай с более новой openssl.

imul ★★★★★
(11.09.17 17:05:47 MSK)

Ответ на: комментарий от Parlixon 11.09.17 17:03:54 MSK

Пересобирать nginx с новым openssl?

Можно для начала попробовать заменить бинарь nginx на более новый. Возьми из пакета от 7-го дебиана. Возможно не придётся много дополнительных библиотек в систему тащить. ldd покажет какие библиотеки нужны, их можно будет положить в отдельный каталог и пускать nginx с переменной LD_LIBRARY_PATH указывающей на этот каталог. Если от 7-го дебиана не заработает с 1.2 то взять от 8-го.
А можно и пересобрать пакет из исходников. Нужно будет ещё средства разработки, dev-пакеты... На боевом сервере такое лучше не делать.

imul ★★★★★
(11.09.17 17:14:27 MSK)

Ссылка

Ответ на: комментарий от imul 11.09.17 17:05:47 MSK

Может тогда проще из сорсов собрать ssl и nginx и поставить в /opt?

Radjah ★★★★★
(11.09.17 18:44:21 MSK)

Ответ на: комментарий от Radjah 11.09.17 18:44:21 MSK

Ну не в /opt а в /usr/local, но не в этом суть. Штатный nginx в 6-м дебьяне придётся менять и заниматься его поддержкой самостоятельно в любом случае. Сделать это можно разными способами.

imul ★★★★★
(11.09.17 19:53:57 MSK)

Ответ на: комментарий от imul 11.09.17 19:53:57 MSK

nginx

Штатный nginx я когда то менял, был совсем старый, поставил 1.8, но и он уже старичёк. Нашёл в закромах nginx более новую версию под Debian 6 - nginx-debug_1.9.2-1~squeeze_amd64.deb стоит экспериментировать, ставить 1.9.2, заработает ли на ней TLS 1.2?

Parlixon
(12.09.17 09:19:52 MSK) автор топика