Codificação SSL não suportada, como desativá-la?

Navegue suas respostas
1

Eu tenho um sistema Linux com uma versão de OpenSSL 0.9.8j-fips 07 Jan 2009 e um Apache Server version: Apache/2.4.27 (Unix)

O Apache tem problemas para se conectar via LDAPS seguro a um servidor DC Windows 2016 remoto.

Eu rastreei o problema capturando pacotes. Aqui está a saída do comando de teste openssl 24651:error:1408D13A:SSL routines:SSL3_GET_KEY_EXCHANGE:unable to find ecdh parameters:s3_clnt.c:1342:

Nos despejos de rede, é mostrado que a cifra TLS_ECDE_RSA_WITH AES_256_CBC_SHA é proposta. O controlador de domínio aceita o handshake olá do cliente apache e informa que a cifra acima será usada para futuras comunicações e fornece uma curva específica. Em seguida, o cliente apache envia um alerta fatal (erro interno).

Outra coisa importante a notar, é que até agora, no lugar do W2016, havia um antigo servidor W2008 usado para essa conexão, e tudo funcionava bem com ele.

Qual é a melhor maneira de resolver isso e como?

  • Configurando o apache para não usar a cifra
  • Configurando o DC do Windows para não usar a cifra
  • Atualizando o openssl no servidor Linux
  • Desativando a cifra na configuração openssl

Aqui está a configuração do apache SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES

Editar: Depois de alguns testes, parece que o controle remoto DC não tem problemas com cifras 3DES, RSA e RC4, estou pensando em definir esta regra para apache -

SSLCipherSuite AES128-SHA:HIGH:MEDIUM:!MD5:!RC4:!3DES:!ECDH SSLProxyCipherSuite AES128-SHA:HIGH:MEDIUM:!MD5:!RC4:!3DES:!ECDH O que você acha?

Agradecemos antecipadamente pelas respostas e pelo seu tempo e atenção.

    
por dampi0 08.10.2018 / 09:01

1 resposta

0

Eu não acho que SSLCipherSuite / SSLProxyCipherSuite afeta como o Apache fala com o servidor LDAP , ao invés disso é uma configuração para mod_ssl descrevendo quais cifras para oferecer aos clientes HTTPS. Essa configuração não é relacionada.

Eu tenho medo que você tenha que configurar a lista de criptografias suportadas no servidor LDAP do Windows para algo menos restrito que ainda é suportado pelo seu host Apache. Você pode ter que habilitar cifras RC4, ou algo parecido.

Essencialmente, você precisará encontrar uma configuração que seja mutuamente aceitável pelo Windows e pelo Apache, mesmo que algumas alterações de configuração sejam necessárias.

Ou, de fato, atualize o servidor Linux - da versão OpenSSL Acredito que serão alguns antigos CentOS 5 ou algo similarmente antigo, provavelmente cheio de problemas de segurança também.

    
por 09.10.2018 / 01:21

Tags

É possível expandir uma unidade Hyper-V se houver pontos de verificação? O IPAM não pôde coletar o evento de login do Windows Server 2016 NPS