https: Apache renégociation TLS: Debian, Apache2, openssl. Comment?
Sur les navigateurs modernes, mon site est marqué comme sorta de l'insécurité:
Google Chrome par exemple dit "The server does not support the TLS renegotiation extension
" dans la Page "Informations".
HTTPS fonctionne très bien, cependant, la connexion est cryptée et que le certificat est valide.
# openssl version
OpenSSL 0.9.8g 19 Oct 2007
# cat /etc/debian_version
5.0.6
# apache2ctl -V
Server version: Apache/2.2.9 (Debian)
Server built: Apr 20 2010 21:44:40
Server's Module Magic Number: 20051115:15
Server loaded: APR 1.2.12, APR-Util 1.2.12
Compiled using: APR 1.2.12, APR-Util 1.2.12
Architecture: 64-bit
Server MPM: ITK
threaded: no
forked: yes (variable process count)
Server compiled with....
-D APACHE_MPM_DIR="server/mpm/experimental/itk"
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=128
-D HTTPD_ROOT=""
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="/etc/apache2/mime.types"
-D SERVER_CONFIG_FILE="/etc/apache2/apache2.conf"
Je suis en utilisant le dépôt dotdeb pour ma LAMPE de configuration, donc Apache 2.2.9.
- Est-il quelque chose de mal avec mon
configuration du serveur? - Ou est-il quelque chose de mal avec l'
certificat en cours d'utilisation? - Où dois-je commencer la traque
le problème?
OriginalL'auteur user451000 | 2010-09-17
Vous devez vous connecter pour publier un commentaire.
Selon la Changelog, vous utilisez le paquet apache2 version 2.2.9-10+lenny8 (le dernier disponible pour Lenny), construit le 20 Avril 2010.
La Version 2.2.9-10+lenny6 avait introduit une solution rapide du problème (CVE-2009-3555):
Par conséquent, vous devez désactiver
SSLVerifyClient optional
dansDirectory
ouLocation
directives.La renégociation TLS extension (RFC 5746), qui aborde le problème dans
SSLVerifyClient optional
de façon plus générale, a été mis en œuvre dans des versions d'OpenSSL 0.9.8 m et 1.0.0 un, dont vous aurez besoin si vous vouliez l'utiliser.Si vous ne l'utilisez pas
SSLVerifyClient optional
en location/répertoire des directives, votre configuration ne semble pas en insécurité, il n'a tout simplement pas en charge cette extension TLS qui aurait permis de continuer à utiliser le client certificat d'authentification sur un répertoire/emplacement.Apache Httpd 2.2.15 a également introduit le
SSLInsecureRenegotiation
directive, si vous voulez forcer l'insécurité comportement (et d'utiliser OpenSSL 0.9.8 m ou au-dessus).OriginalL'auteur Bruno
Je ne suis pas sûr pourquoi, mais je suis tombé dans ce qui semble être un correctif pour ce problème. J'ai eu 1 seul vhost SSL et a remarqué une redirection à partir de l'adresse http -> https ne fonctionnait pas. J'ai essayé un certain nombre de variantes de règles de réécriture en vain. J'ai donc décidé de créer un second serveur virtuel sur le port 80. La redirection a commencé à travailler, et pas seulement, Chrome a commencé à montrer le vert https symbole dans le coin 😀
OriginalL'auteur quickshiftin