Webサーバで参照している "SSL Version" を変えたい。
ちなみに、インストールされているNSSのバージョンは 3.19 で最新の状態。
しかし確認してみると、バージョンが古いまま、という事例。
OSバージョン
cat /proc/version
Linux version 2.6.32-358.6.1.el6.x86_64
cat /etc/redhat-release
CentOS release 6.4 (Final)
SSLバージョン
php -i | grep "SSL Version"
SSL Version => NSS/3.14.0.0
SSL VersionそもそもNSSが古いのもよくないが、NSSに向いていること自体まずそう。
ただ、下記のように、PHPの再コンパイルとか深いところをいじりたくない…
http://blog.wnotes.net/blog/article/php_curl_error
Googleで彷徨っていると、見当たったのはGHOST脆弱性問題対策
http://d.hatena.ne.jp/ts_asano/20150128/1422430262
NSS(Network Security Services)の更新が必要とのこと。
いざ更新。
yum install --disablerepo=epel nss
3.19.1-2.el6_7 で最新の状態ですとのこと。
glibcが古いのかと確認。たしかに古い。
[root@stage-receipt-web-php56-04 ~]# yum list glibc
読み込んだプラグイン:fastestmirror, presto
Loading mirror speeds from cached hostfile
* base: ftp.iij.ad.jp
* extras: ftp.iij.ad.jp
* remi-safe: remi.kazukioishi.net
* rpmforge: ftp.riken.jp
* updates: ftp.iij.ad.jp
インストール済みパッケージ
glibc.x86_64 2.12-1.107.el6 @base
利用可能なパッケージ
glibc.i686 2.12-1.166.el6_7.7 updates
glibc.x86_64 2.12-1.166 el6_7.7 updates
おもむろにglibcをUpdate
yum update glibc
確認すると、向き先がOpenSSLに変わりました。
php -i | grep "SSL Version"
SSL Version => OpenSSL/1.0.1e