O certificado SSL assinado SHA-2 trava o apache na inicialização no CentOS 5.X

3

Na preparação dos avisos que começarão a aparecer nos navegadores ao visitar sites SSL com certificados assinados SHA1, eu queria obter todos os certificados atualizados.

Algumas de minhas infraestruturas estão sendo executadas em servidores "legados" baseados no CentOS 5.X. E nesses servidores, quando eu instalo as novas chaves e certificados, o apache simplesmente morre na inicialização. Não há nada de útil no error_log.

Agora, o DigiCert tem uma página de compatibilidade que diz que, para o apache, os seguintes versios são necessários.

link

em um servidor CentOS 5.X, com esses pacotes totalmente atualizados, eu vejo isso ...

httpd.x86_64  2.2.3-91.el5.centos
openssl.x86_64 0.9.8e-27.el5_10.4

Então, logo de cara, eu estou pensando que 0.9.8e pode ser um problema. Mas eu investiguei um pouco para ver se as mudanças relacionadas ao SHA introduzidas em 0.9.8o do projeto openssl upstream foram retornadas pelo RH, e parece que as mudanças relacionadas ao SHA256 foram confirmadas em um dos backports do RHEL / CentOS.

Eu olhei no repositório do git para o openssl e descobri o que parece ser a alteração relacionada ao SHA 2 em 0.9.8o

Commit Hash: bc06baca76534abc2048a3ac4d109b144da4b706
Add SHA2 algorithms to SSL_library_init(). Although these aren't used
directly by SSL/TLS SHA2 certificates are becoming more common and
applications that only call SSL_library_init() and not
OpenSSL_add_all_alrgorithms() will fail when verifying certificates.

E no paco openssl do CentOS / RHEL eu vejo isso no changelog ...

rpm -q --changelog openssl 
* Wed Mar 09 2011 Tomas Mraz <[email protected]> 0.9.8e-18
- add SHA-2 hashes in SSL_library_init() (#676384)

Então, para mim, parece que eu deveria ter as versões adequadas do httpd e do openssl (com correção do backport) para lidar com certificados assinados pelo SHA-2.

Então, minhas perguntas. Estou esquecendo de algo? Existe algum outro erro de configuração do apache que poderia estar causando o travamento ao iniciar este certificado?

Se eu precisar baixar uma versão mais nova do openssl 0.9.8X e sair do yum, posso fazer isso, mas quero evitar isso, se possível.

    
por Steakfest 03.10.2014 / 20:56

1 resposta

1

Respondendo a minha própria pergunta ...

Sim, o CentOS 5 suporta certs assinados SHA256. Uma VM limpa funciona muito bem, deve haver um problema de configuração do apache.

There is nothing useful in the error_log...

Dê uma olhada mais de perto no seu ssl_error_log , não há nada de útil em relação ao apache ser interrompido devido a coisas ssl no error_log. Por padrão, o apache usa o ssl_error_log ...

Eu suspeito :) que você descobrirá que há algum problema com a configuração do apache.

    
por 07.10.2014 / 17:19