CentOS6で弱い暗号方式(MD5)を有効にする /etc/pki/tls/legacy-settings

• CentOS6.10にて確認。CentOS7でも指定可能な様子。
  • (Ubuntu では利用できない。そのためUbuntu21.04ではxpでhttps接続ができない(?))
• Windows XP SP3のIE6でも見れるwebサーバー設定(自己署名証明書) - Qiita
• OpenSSL 0.9.8で作成した鍵をOpenSSL 1.1.1 でも使う方法 - Qiita

参考

• 第39章 非推奨の機能 Red Hat Enterprise Linux 7 | Red Hat Customer Portal
• ApacheでOpenSSLのセキュリティを強化する - Qiita の暗号方式一覧が分かりやすい。
• 安全な SSL/TLS 設定にするための10のポイント（Apache httpd 2.4） | あぱーブログ チューニングを分かりやすく書いていた。

設定

• MD5を有効にする例

echo "LegacySigningMDs md5" >> /etc/pki/tls/legacy-settings

きっかけ

Apache 2.2

• Windows XP (IE6)では echo "LegacySigningMDs md5" >> /etc/pki/tls/legacy-settings しないと閲覧できなかった。
• 閲覧できるようになった時の暗号化は以下

SSLProtocol TLSv1 TLSv1.1
SSLCipherSuite DES-CBC3-SHA:PSK-AES256-CBC-SHA

• windows7 sp1 (IE8) だとApache側でSSLProtocol TLSv1.2を有効にしていると見れない。

• 他参考

  • ssl-SHA1を使用したTLSv1.2？ - スタックオーバーフロー
  • Transport Layer Security - Wikipedia

• 各ブラウザでの接続 ssllabsの結果。

puppetmaster

• puppetmasterを起動時にエラーになった。

• 設定すると起動できるようになった。

暗号化スイートの確認

• 私が愛した openssl (SSL/TLS 編) - してみんとて
• Gentoo Forums :: View topic - OpenVPN and MD5.

#  MD5 を使ってるものだけ抜きだすコマンド
$ openssl ciphers -v MD5

• 輸出グレード暗号をサポートしているかの確認方法(FREAK Attack) - dondari

EXP- は exportで、無効にするべきもの。

最近ssl系の脆弱性発見多いですね。ということでFREAK Attackです。 サーバー側の対応としては、輸出グレード暗号化のサポートをしないように設定することが必要のようです。

OpenSSL の Source

• source