From rakiamusic ＠ hotmail.com  Wed Jul  2 21:07:44 2014
From: rakiamusic ＠ hotmail.com (Fermi _)
Date: Wed, 2 Jul 2014 21:07:44 +0900
Subject: [Ultramonkey-l7-users 581] Re:
	=?iso-2022-jp?b?U1NMGyRCJVclbSVIJTMlayROSlE5OSRLJEQkJCRGGyhC?=
In-Reply-To: <53A78772.7000808@nttcom.co.jp>
References: <BAY178-W61153C7BF4EFDB77FCB66DE100@phx.gbl>,
	<53A121A2.2090509@nttcom.co.jp><BAY178-W3912CE3F37269CE8C6AE30DE100@phx.gbl>
	<53A78772.7000808@nttcom.co.jp>
Message-ID: <BAY178-DS7F641300F6ED341E24048DE060@phx.gbl>

中野さん

こんばんは。
返事遅くなり失礼いたしました。

ご回答ありがとうございました。
大変参考になりました。

もっと使い込んで、ＦＢしたいと思います。

-----Original Message----- 
From: Hiroaki Nakano
Sent: Monday, June 23, 2014 10:48 AM
To: ultramonkey-l7-users ＠ lists.sourceforge.jp
Subject: [Ultramonkey-l7-users 580] Re: SSLプロトコルの変更について

Fermiさん

中野です。
こんにちは。

お使いのopensslが何かによるのですが、
TLSv1.2はopenssl-1.0.1以降での実装に
なります。

https://www.openssl.org/news/openssl-notes.html
「Major changes between OpenSSL 1.0.0h and OpenSSL 1.0.1 [14 Mar 2012]:」

中野のテスト環境はRHEL6.3なのですが、
openssl-1.0.0系なので試せませんでした。

最新の"man 1 ciphers"には、暗号セットの
指定キーワードとして"TLSv1.2"があるので、
sslproxy.target.cfの中のcipher_listで、先頭に「!」
付きで否定の指定をすれば、制限できるかもしれません。
「最新のman 1 ciphers」
https://www.openssl.org/docs/apps/ciphers.html

こんな感じ？
cipher_list = "ALL:!ADH:!LOW:!EXP:!MD5:!TLSv1.2:@STRENGTH"

RHEL6.3の"man 1 ciphers"には、"TLSv1.2"というキーワードは
なくて、"TLSv1"しかありませんでした。
試しに指定して見たら、見事にl7directordのstartで
"ssl config failed"と言われてエラーになりました。

つい先日リリースされたRHEL7.0では、man 1 ciphersは古いままで
TLSv1しか書いてありませんでしたが、rpm -q opensslでバージョンを
見ると"openssl-1.0.1e-34.el7"とあったので、こっちなら
いけるかもしれません。

ということで、古いopensslならもともとTLSv1.2をサポート
していないので、TLSv1.2を指定して繋ぎに行って繋がった
場合でも、暗号セットはTLSv1.0のものを使っているのかも
しれませんね。


(2014/06/18 18:58), Fermi _ wrote:
> 中野さん
>
> こんにちは、Fermiです。
>
> TLSv1.0は有効のまま、TLSv1.1とTLSv1.2を無効にしたいのですが、
> 以下オプションでは、TLSv1.0のみ無効になり、
> TLSv1.1とTLSv1.2ではアクセスできてしまいました。
> ssl_options = "SSL_OP_NO_TLSv1"
>
> 参考ページを参照し、以下設定してみましたが、
> ssl_options = "SSL_OP_NO_TLSv1_1"
> ssl_options = "SSL_OP_NO_TLSv1_2"
> エラーとなり、設定できませんでした。
>
> --l7vsd.log--
> [ERROR] l7vsd_virtualservice VSD40700023 ssl option string no match.
> [ERROR] l7vsd_virtualservice VSD40700032 ssl_options convert error.
> [ERROR] l7vsd_virtualservice VSD40700011 get ssl parameter failed
> ----
>
> 何か解決策がありますでしょうか。
> よろしくお願いいたします。
>
>  > Date: Wed, 18 Jun 2014 14:20:34 +0900
>  > From: nakano.hiroaki ＠ nttcom.co.jp
>  > To: ultramonkey-l7-users ＠ lists.sourceforge.jp
>  > Subject: [Ultramonkey-l7-users 578] Re: SSLプロトコルの変更について
>  >
>  > Fermiさん
>  >
>  > 中野@幕張です。
>  > こんにちは。
>  >
>  > (2014/06/18 10:25), Fermi _ wrote:
>  > > お世話になります。Fermiです。
>  > >
>  > > 質問させていただきます。
>  > > UM-L7(V3.1.1)の検証を行っております。
>  > > OpenSSL(1.0.1)は最新版を利用しています。
>  > >
>  > > UM-L7でSSLデコードする場合、
>  > > TLSv1.2プロトコルを利用しているのですが、
>  > > 明示的にTLSｖ1を利用するようにしたいと考えています。
>  > > sslproxy.target.cfなどで指定する方法がありますでしょうか。
>  >
>  > sslproxy.target.cfのうち、上から2/3あたりにあるこのあたり
>  > が設定項目になると思います。
>  >
>  > ----------------
>  > ssl_options = "SSL_OP_NO_SSLv2"
>  > #ssl_options = "SSL_OP_NO_SSLv3"
>  > #ssl_options = "SSL_OP_NO_TLSv1"
>  > #ssl_options = "SSL_OP_PKCS1_CHECK_1"
>  > #ssl_options = "SSL_OP_PKCS1_CHECK_2"
>  > #ssl_options = "SSL_OP_NETSCAPE_CA_DN_BUG"
>  > #ssl_options = "SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG"
>  > ----------------
>  >
>  > インストール時にコピーされるサンプルは上記の
>  > ようになっていて、意味的にはコメントが外れている
>  > 「SSLv2は使わない(NO_SSLv2)」だけ有効になっています。
>  >
>  > ここで、SSLv3とかも使わないようにして、TLSv1だけ
>  > NOを設定しないようにすれば、TLSv1を明示的に利用できると
>  > 思います。
>  >
>  > ----------------
>  > ssl_options = "SSL_OP_NO_SSLv2"
>  > ssl_options = "SSL_OP_NO_SSLv3"
>  > #ssl_options = "SSL_OP_NO_TLSv1"
>  > #ssl_options = "SSL_OP_PKCS1_CHECK_1"
>  > #ssl_options = "SSL_OP_PKCS1_CHECK_2"
>  > #ssl_options = "SSL_OP_NETSCAPE_CA_DN_BUG"
>  > #ssl_options = "SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG"
>  > ----------------
>  >
>  > ちなみに下のPKCS1_CHECKは何なのか自分もわかりません＾＾；
>  > NETSCAPEのやつは、昔のNetscapeブラウザのバグ含みの
>  > SSL接続も受け付けるためのオプションです。
>  >
>  > OpenSSLのSSL_CTX_set_optionsのmanに簡単な説明が書いてあります。
>  > # man SSL_CTX_set_options
>  > もしくは下のURL
>  > https://www.openssl.org/docs/ssl/SSL_CTX_set_options.html
>  >
>  > wgetで試したところ、TLSv1で接続に行きました。
>  > ついでにSSLv3を明示指定してアクセスしたら、ちゃんとSSLでエラーに
>  > なりました。
>  > -----------------
>  > # wget --no-check-certificate --secure-protocol=SSLv3 
> https://192.168.200.1/
>  > --2014-06-18 14:13:53-- https://192.168.200.1/
>  > 192.168.200.1:443 に接続しています... 接続しました。
>  > OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert 
> handshake failure
>  > SSL による接続が確立できません。
>  >
>  > -----------------
>  >
>  > --
>  > 中野 宏朗 (NAKANO Hiroaki)
>  > NTTコムウェア 品質生産性技術本部 技術SE部
>  > 基盤ソフトSE・OSS部門 OSS・DB技術担当
>  > Tel: 043-211-2452 (Ext: 特番+26-8341), Fax: 043-211-5086
>  > Zip/Address: 261-0023 千葉県千葉市美浜区中瀬1-6 NTT幕張ビル21F-En
>  >
>  > _______________________________________________
>  > Ultramonkey-l7-users mailing list
>  > Ultramonkey-l7-users ＠ lists.sourceforge.jp
>  > http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-users


-- 
中野 宏朗 (NAKANO Hiroaki)

_______________________________________________
Ultramonkey-l7-users mailing list
Ultramonkey-l7-users ＠ lists.sourceforge.jp
http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-users