Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[gelöst] Leap 15.1 - Apache 2.4.41 - TLS 1.3 aktivieren

Alles rund um die Server (Web-, Mail-, Datenbank-, Datenaustausch-, etc.) die man unter Linux betreiben kann

Moderator: Moderatoren

Antworten
schnurzelat
Member
Member
Beiträge: 169
Registriert: 30. Jun 2008, 20:17

[gelöst] Leap 15.1 - Apache 2.4.41 - TLS 1.3 aktivieren

Beitrag von schnurzelat » 18. Nov 2019, 08:43

Hallo,

ich versuche TLS 1.3 zu aktivieren. Dafür habe ich aktuelle Versionen von OpenSSL und dem Apache installiert. Trotzdem kommt die Fehlermeldung "SSLProtocol: Illegal protocol 'TLSv1.3'".

Code: Alles auswählen

 # httpd -v
Server version: Apache/2.4.41 (Linux/SUSE)
Server built:   2019-11-08 08:59:10.000000000 +0000

 # openssl version
OpenSSL 1.1.1d  10 Sep 2019

Die Pakete stammen aus folgenden Repos:

Code: Alles auswählen

https://download.opensuse.org/repositories/Apache/openSUSE_Leap_15.1/
https://download.opensuse.org/repositories/security:/tls/openSUSE_Leap_15.1/

Code: Alles auswählen

<VirtualHost _default_:443>
                SSLEngine on
                SSLCertificateFile /etc/certbot/live/example.com/fullchain.pem
                SSLCertificateKeyFile /etc/certbot/live/example.com/privkey.pem
                SSLCertificateChainFile /etc/certbot/live/example.com/fullchain.pem

                ServerName www.example.com
                ServerAdmin admin@example.com
                ServerAlias example.com

                DocumentRoot /srv/www/vhosts/www.example.com

                ErrorLog /var/log/apache2/www.example.com-error.log
                CustomLog /var/log/apache2/www.example.com-access.log combined

                HostnameLookups Off
                UseCanonicalName Off
                #
                SSLProtocol             -all +TLSv1.2 +TLSv1.3
                SSLCipherSuite      ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
                SSLCipherSuite      TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
                #
                SSLHonorCipherOrder on
                SSLCompression off
                SSLOpenSSLConfCmd DHParameters /etc/apache2/dhparam.pem
                #Hardening
                FileETag None
                TraceEnable off
                Header always append X-Frame-Options SAMEORIGIN
                Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
                Header set X-XSS-Protection "1; mode=block"
                RewriteEngine On
                RewriteCond %{THE_REQUEST} !HTTP/1.1$
                RewriteRule .* - [F]
                Timeout 60

    <Directory "/srv/www/vhosts/www.example.com">

        <LimitExcept GET POST HEAD>
        Require all denied
        </LimitExcept>
        Options FollowSymLinks
        DirectoryIndex index.html
        AllowOverride None
        <RequireAll>
        Require ip ${GOODIPS}
        </RequireAll>
    </Directory>
</VirtualHost>
Was habe ich übersehen?

Danke und Gruß
schnurzelat
Zuletzt geändert von schnurzelat am 22. Nov 2019, 18:52, insgesamt 1-mal geändert.
Derzeitiger Server: OpenSuse Leap 15.1 auf einem Dell T20 mit einem Xeon E3-1225 v3 und 16 GB RAM
Wichtige Anwendungen: Apache2, MySQL, Samba, Squid, SquidGuard, x11vnc

Werbung:
schnurzelat
Member
Member
Beiträge: 169
Registriert: 30. Jun 2008, 20:17

Re: Leap 15.1 - Apache 2.4.41 - TLS 1.3 aktivieren

Beitrag von schnurzelat » 22. Nov 2019, 18:52

Ich habe jetzt TLS 1.3 am Laufen. Ausschlaggebend war, neben den o. g. Voraussetzungen, ein Kernel >= 4.13 und eine Einstellung unter

/etc/sysconfig/apache2

Code: Alles auswählen

APACHE_SERVER_FLAGS="SSL"
Diese Einstellung ist bei anderen Distributionen nicht notwendig, so dass ich darauf auch nicht ohne weiteres gekommen bin. Das Fehlen dieser Einstellung, führt meines Erachtens zu einer nicht schlüssigen Fehlermeldung, wie das erwähnte "SSLProtocol: Illegal protocol 'TLSv1.3'".

Um einen signierten Kernel zu bekommen, habe ich das System auf Tumbleweed upgegradet. In der vhost Einstellung können die meisten SSL Parameter entfallen.

Ich hoffe, dass jemand die Infos gebrauchen kann.

Gruß schnurzelat
Derzeitiger Server: OpenSuse Leap 15.1 auf einem Dell T20 mit einem Xeon E3-1225 v3 und 16 GB RAM
Wichtige Anwendungen: Apache2, MySQL, Samba, Squid, SquidGuard, x11vnc

Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 1952
Registriert: 10. Nov 2012, 11:00
Wohnort: Münsterland

Re: [gelöst] Leap 15.1 - Apache 2.4.41 - TLS 1.3 aktivieren

Beitrag von gehrke » 22. Nov 2019, 19:57

Vielen Dank für die Info.

Antworten