Как большинство других, наш сервер репозитория должен отключить SSLv3 (и v2) как можно скорее.
Однако выполнение так, кажется, повреждает наших мерзавцев-клиенты - по крайней мере, на RHEL5 (соединения от моего рабочего стола FreeBSD хорошо работают). Даже новый мерзавец (2.1.2) сбои и библиотеки OpenSSL обновления к последнему от поставщика не помог.
Однако! Тот же мерзавец-клиент работает просто великолепно против github.com - и github.com уже имеет SSLv3, отключенный также. Методом проб и ошибок я установил наш сервер (Apache) конфигурация SSL для соответствия тому из GitHub:
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite "AES128-SHA AES256-SHA RC4-SHA"
Путем выполнения sslscan
против нашего сервера и GitHub, я получаю идентичный список шифров, принятых и отклоненных. Но мерзавец продолжает перестать работать:
% git clone https://git.example.net/git/puppet-hiera
Cloning into 'puppet-hiera'...
* Couldn't find host git.example.net in the .netrc file, using defaults
* About to connect() to git.example.net port 443
* Trying 10.89.8.27... * connected
* Connected to git.example.net (10.89.8.27) port 443
* successfully set certificate verify locations:
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* Unknown SSL protocol error in connection to git.example.net:443
* Closing connection #0
fatal: unable to access 'https://git.example.net/git/puppet-hiera/': Unknown SSL protocol error in connection to git.example.net:443
Теперь, единственное заметное различие, остающееся между SSL нашего сервера и GitHub, является этим sslscan
может произвести детали сертификата GitHub, но не удается получить детали с нашего сервера.
Когда я соединяюсь с нашим сервером мерзавца от своего рабочего стола FreeBSD, того же git clone
работы команды. Вместо сбоя, после вывода CApath: none
, Я вижу:
CApath: none
* SSL connection using AES128-SHA
* Server certificate:
subject: C=US; postalCode= ............
и клонирование успешно выполняется. Как я настраиваю наш сервер так, чтобы мерзавец работал с ним даже от старых RHEL5-систем - как он делает против серверов GitHub?
Обновление: попытка получить доступ к нашему серверу только с curl
, Я получил подобную ошибку по совместимости SSL. Однако я смог преодолеть его путем вызова завихрения с явным --tlsv1
опция (также известный как -1
). Так, программное обеспечение в системах RHEL5 способно к необходимым протоколам и шифрам - как я заставляю его использовать их по умолчанию вместо того, чтобы пробовать старые и перестать работать?
Хорошо, вот сделка. Отключение SSLv3 в сегодняшнем Apache означает, что сервер даже не скажет клиенту, что он хочет использовать TLS. Если клиент не начинает диалог с TLS, клиент завершится ошибкой - даже если сможет говорить по TLS. Большое спасибо пользователю Крису С. , который проанализировал проблему и даже предложил патч для Apache mod_ssl
, отвечая на вопрос, связанный с .
Посмотрев на патч Криса, разработчики Apache придумали более полный, который может даже стать частью следующего выпуска Apache. Он представляет новую опцию для директивы Apache SSLProtocols
: ANY
. Когда Apache встречает ANY
, он сообщает подключающемуся клиенту (через SSLv2Hello), что он должен переключиться на TLS:
SSLProtocol ANY -SSLv2 -SSLv3
Я вставляю патч для тех, кто не может позволить себе ждать для Apache 2.4.11.
Index: modules/ssl/ssl_private.h
===================================================================
--- modules/ssl/ssl_private.h (revision 1635012)
+++ modules/ssl/ssl_private.h (working copy)
@@ -295,8 +295,10 @@ typedef int ssl_opt_t;
#define SSL_PROTOCOL_TLSV1_2 (1<<4)
#define SSL_PROTOCOL_ALL (SSL_PROTOCOL_SSLV3|SSL_PROTOCOL_TLSV1| \
SSL_PROTOCOL_TLSV1_1|SSL_PROTOCOL_TLSV1_2)
+#define SSL_PROTOCOL_ANY (1<<5)
#else
#define SSL_PROTOCOL_ALL (SSL_PROTOCOL_SSLV3|SSL_PROTOCOL_TLSV1)
+#define SSL_PROTOCOL_ANY (1<<3)
#endif
typedef int ssl_proto_t;
Index: modules/ssl/ssl_engine_init.c
===================================================================
--- modules/ssl/ssl_engine_init.c (revision 1635012)
+++ modules/ssl/ssl_engine_init.c (working copy)
@@ -490,6 +490,7 @@ static apr_status_t ssl_init_ctx_protocol(server_r
}
cp = apr_pstrcat(p,
+ (protocol & SSL_PROTOCOL_ANY ? "SSLv23, " : ""),
(protocol & SSL_PROTOCOL_SSLV3 ? "SSLv3, " : ""),
(protocol & SSL_PROTOCOL_TLSV1 ? "TLSv1, " : ""),
#ifdef HAVE_TLSV1_X
Index: modules/ssl/ssl_engine_config.c
===================================================================
--- modules/ssl/ssl_engine_config.c (revision 1635012)
+++ modules/ssl/ssl_engine_config.c (working copy)
@@ -1311,6 +1311,9 @@ static const char *ssl_cmd_protocol_parse(cmd_parm
else if (strcEQ(w, "all")) {
thisopt = SSL_PROTOCOL_ALL;
}
+ else if (strcEQ(w, "any")) {
+ thisopt = SSL_PROTOCOL_ANY|SSL_PROTOCOL_ALL;
+ }
else {
return apr_pstrcat(parms->temp_pool,
parms->cmd->name,
Index: modules/ssl/ssl_engine_io.c
===================================================================
--- modules/ssl/ssl_engine_io.c (revision 1635012)
+++ modules/ssl/ssl_engine_io.c (working copy)
@@ -1137,6 +1137,7 @@ static apr_status_t ssl_io_filter_handshake(ssl_fi
* IPv4 and IPv6 addresses are not permitted".)
*/
if (hostname_note &&
+ !(sc->proxy->protocol & SSL_PROTOCOL_ANY) &&
sc->proxy->protocol != SSL_PROTOCOL_SSLV3 &&
apr_ipsubnet_create(&ip, hostname_note, NULL,
c->pool) != APR_SUCCESS) {
Мне нравится объяснение, которое вы дали, как сделать настройки на стороне сервера, чтобы заставить работать git-клиенты. Моя проблема заключалась в попытке подключиться к jazzhub, где у меня нет возможности изменить сервер. Я придумал это решение сегодня (и поздно вечером):
https://developer.ibm.com/answers/answers/164635/view.html
Если у вас есть отзывы, я бы с удовольствием послушал его.
-Майкл
.