O Apache2 falha ao iniciar com algumas configurações específicas do SSLCipherSuite

Navegue suas respostas
1

Eu tenho uma configuração xxx-ssl.conf em /etc/apache2/sites-available/ com as seguintes opções de SSL: 

SSLEngine on  
SSLCertificateFile    /var/www/ssl/webserver_cert.der  
SSLCertificateKeyFile /var/www/ssl/webserver.key  
SSLCipherSuite NULL-SHA

Os arquivos chave e os arquivos de certificados estão no lugar. O host virtual (xxx-ssl.conf) é ativado com o comando a2ensite. O servidor Apache é recarregado. Infelizmente, ele falha ao iniciar - o log de erros mostra o seguinte: 

[debug] ssl_engine_init.c(608): Configuring permitted SSL ciphers [!aNULL:!eNULL:!EXP:NULL-SHA]
[error] Unable to configure permitted SSL ciphers
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[error] SSL Library Error: 336646329 error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match

Em outros arquivos de configuração eu também tenho as seguintes cifras: 

SSLCipherSuite NULL-MD5
SSLCipherSuite NULL-SHA
SSLCipherSuite EXP-DES-CBC-SHA

e eles não funcionam também. No entanto, tenho algumas configurações de trabalho (como SSLCipherSuite DES-CBC-SHA ).

Além disso, quando tento executar openssl ciphers -s , recebo o seguinte erro: 

Error in cipher list
3073530056:error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match:ssl_lib.c:1312:

Tudo estava funcionando bem antes da atualização do Apache e do OpenSSL.

Eu trabalho no Ubuntu 12.04 LTS.

Apache: 

Server version: Apache/2.2.22 (Ubuntu)
Server built:   Jul 15 2016 15:32:38

OpenSSL: 

OpenSSL 1.0.1 14 Mar 2012

Alguém poderia me guiar pelo processo de descobrir o que está acontecendo? Obrigado!

    
por Ihnash 02.09.2016 / 16:30

1 resposta

1

Eu não tenho ideia do que você está tentando fazer com esses conjuntos de criptografia 

SSLCipherSuite NULL-MD5
SSLCipherSuite NULL-SHA
SSLCipherSuite EXP-DES-CBC-SHA

porque estes são terrivelmente inseguros. Consulte o link para obter uma configuração útil e segura.

Além disso, as seguintes mensagens de erro indicam que o certificado e / ou a chave privada não estão no formato correto: 

[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?

Se a extensão do arquivo for um indicador do formato, isso pode estar relacionado a essa configuração aqui, porque parece que você está usando o formato DER (binário) em vez do formato PEM (textual) necessário: 

SSLCertificateFile    /var/www/ssl/webserver_cert.der

Everything was working fine before the Apache and OpenSSL update.

Eu duvido disso. Talvez estivesse funcionando, mas duvido que estivesse funcionando bem. Talvez você não tenha percebido antes como a sua configuração era insegura.

    
por 02.09.2016 / 18:11

Tags

Por que o rsyslog substitui as guias por # 011? questão VPN - Roteamento e acesso remoto - Win 2012 R2