- CentOS6.10にて確認。CentOS7でも指定可能な様子。
- (Ubuntu では利用できない。そのためUbuntu21.04ではxpでhttps接続ができない(?))
- Windows XP SP3のIE6でも見れるwebサーバー設定(自己署名証明書) - Qiita
- OpenSSL 0.9.8で作成した鍵をOpenSSL 1.1.1 でも使う方法 - Qiita
参考
- 第39章 非推奨の機能 Red Hat Enterprise Linux 7 | Red Hat Customer Portal
- ApacheでOpenSSLのセキュリティを強化する - Qiita の暗号方式一覧が分かりやすい。
- 安全な SSL/TLS 設定にするための10のポイント(Apache httpd 2.4) | あぱーブログ チューニングを分かりやすく書いていた。
設定
- MD5を有効にする例
echo "LegacySigningMDs md5" >> /etc/pki/tls/legacy-settings
きっかけ
Apache 2.2
- Windows XP (IE6)では
echo "LegacySigningMDs md5" >> /etc/pki/tls/legacy-settings
しないと閲覧できなかった。 - 閲覧できるようになった時の暗号化は以下
SSLProtocol TLSv1 TLSv1.1
SSLCipherSuite DES-CBC3-SHA:PSK-AES256-CBC-SHA
- windows7 sp1 (IE8) だとApache側で
SSLProtocol TLSv1.2
を有効にしていると見れない。
-
他参考
各ブラウザでの接続 ssllabsの結果。
puppetmaster
- puppetmasterを起動時にエラーになった。
- 設定すると起動できるようになった。
暗号化スイートの確認
# MD5 を使ってるものだけ抜きだすコマンド
$ openssl ciphers -v MD5
EXP- は export
で、無効にするべきもの。
最近ssl系の脆弱性発見多いですね。ということでFREAK Attackです。 サーバー側の対応としては、輸出グレード暗号化のサポートをしないように設定することが必要のようです。