Welche TLS-Protokolle sind in OpenSSL von Ubuntu 14.04 aktiviert?

7

Dies ist eine Folge von Override Distro Package mit Custom Package? .

Weiß jemand, ob OpenSSL von Ubuntu 14.04 alle TLS-Protokolle (TLS1.0, TLS1.1 und TLS1.2) aktiviert? Oder sind Protokolle wie in früheren Versionen deaktiviert (TLS1.1 und TLS1.2)?

Verwandte: Wie prüft man überhaupt auf so etwas?

Bearbeiten : Dies ist keine Frage zum Fehlerbericht. Es ist auch keine Entwicklerfrage. Ihr geht den "Close as Bug Report" viel zu weit.

Gemeinschaft
quelle
IMO hängt es vom jeweiligen Client (Browser, E-Mail usw.) ab, nicht vom Betriebssystem.
Braiam
Danke Braiam. Ubuntu wird sie deaktivieren. Die Clients und der Server haben keine Wahl. Siehe zum Beispiel, dass die OpenSSL-Downlevel-Version 1.0.0 ist und TLS 1.2 nicht unterstützt .
1
Ich denke, Upstream hat die Probleme behoben . Ich konnte das Problem in Debian Testing, das OpenSSL 1.0.1f verwendet, nicht reproduzieren. Ich denke, Ubuntu wird das einfach importieren. Wenn Sie dies überprüfen möchten, laden Sie einfach eine Kopie von Ubuntu 14.04 herunter und testen Sie sie.
Braiam
Danke Braiam. Ich bin mir also sicher, welche Chiffre mit diesem Befehl ausgehandelt wird : openssl s_client -connect mail.google.com:443 -servername mail.google.com -tls1_2 -no_comp? Es sollte einer der ECDHE-ECDSAChiffren sein ECDHE-ECDSA-AES128-GCM-SHA256.
1
für mich New, TLSv1/SSLv3, Cipher is ECDHE-ECDSA-AES128-GCM-SHA256in Debian.
Braiam

Antworten:

8
$ cat /etc/issue
Ubuntu 14.04 LTS \n \l

$ apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1ubuntu2
  Candidate: 1.0.1f-1ubuntu2
  Version table:
 *** 1.0.1f-1ubuntu2 0
        500 http://us.archive.ubuntu.com/ubuntu/ trusty/main amd64 Packages
        100 /var/lib/dpkg/status

$ openssl ciphers -v 'TLSv1.2' | head -4
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
andrewsomething
quelle
4

Ich möchte die Antwort von @andrewsomething zusammenfassen ...

Kurze Antwort TLSv1.2.

Verwenden Sie speziell auf Ihrem System den folgenden Befehl:

$ openssl ciphers -v TLSv1

Sie können v1 durch v1 ersetzen. [012] nach Bedarf, um Details zu sehen. Beachten Sie, dass Sie TLSv1 und TLSv1.2 verwenden möchten (1.0 und 1.1 sind standardmäßig deaktiviert).

uDude
quelle
0

Laut Änderungsprotokoll wurde TLS 1.1 zuletzt durch einen in Version 1.0.1b (26. April 2012) behobenen Fehler deaktiviert. Seitdem wurde die TLS-Unterstützung standardmäßig nie deaktiviert. Sie können jedoch deaktiviert werden.

Um herauszufinden, ob auf einem Server eines der SSL-Protokolle deaktiviert ist, können Sie Folgendes verwenden:

nmap --script +ssl-enum-ciphers example.com

Dies gibt Ihnen eine Rendite wie diese:

Starting Nmap 6.47 ( http://nmap.org ) at 2015-11-06 12:00 UTC
...
| ssl-enum-ciphers: 
|   SSLv3: 
|     ciphers: 
...
|   TLSv1.0: 
|     ciphers: 
...
|   TLSv1.1: 
|     ciphers: 
...
|   TLSv1.2: 
|     ciphers: 
...
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 22.15 seconds

Wenn ein Protokoll nicht unterstützt wird, ist es normalerweise nicht in der Liste enthalten.

JP de la Torre
quelle