• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Leap 15.1 - Apache 2.4.41 - TLS 1.3 aktivieren

Hallo,

ich versuche TLS 1.3 zu aktivieren. Dafür habe ich aktuelle Versionen von OpenSSL und dem Apache installiert. Trotzdem kommt die Fehlermeldung "SSLProtocol: Illegal protocol 'TLSv1.3'".


Code:
 # httpd -v
Server version: Apache/2.4.41 (Linux/SUSE)
Server built:   2019-11-08 08:59:10.000000000 +0000

 # openssl version
OpenSSL 1.1.1d  10 Sep 2019
Die Pakete stammen aus folgenden Repos:
Code:
https://download.opensuse.org/repositories/Apache/openSUSE_Leap_15.1/
https://download.opensuse.org/repositories/security:/tls/openSUSE_Leap_15.1/

Code:
<VirtualHost _default_:443>
                SSLEngine on
                SSLCertificateFile /etc/certbot/live/example.com/fullchain.pem
                SSLCertificateKeyFile /etc/certbot/live/example.com/privkey.pem
                SSLCertificateChainFile /etc/certbot/live/example.com/fullchain.pem

                ServerName www.example.com
                ServerAdmin admin@example.com
                ServerAlias example.com

                DocumentRoot /srv/www/vhosts/www.example.com

                ErrorLog /var/log/apache2/www.example.com-error.log
                CustomLog /var/log/apache2/www.example.com-access.log combined

                HostnameLookups Off
                UseCanonicalName Off
                #
                SSLProtocol             -all +TLSv1.2 +TLSv1.3
                SSLCipherSuite      ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
                SSLCipherSuite      TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
                #
                SSLHonorCipherOrder on
                SSLCompression off
                SSLOpenSSLConfCmd DHParameters /etc/apache2/dhparam.pem
                #Hardening
                FileETag None
                TraceEnable off
                Header always append X-Frame-Options SAMEORIGIN
                Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
                Header set X-XSS-Protection "1; mode=block"
                RewriteEngine On
                RewriteCond %{THE_REQUEST} !HTTP/1.1$
                RewriteRule .* - [F]
                Timeout 60

    <Directory "/srv/www/vhosts/www.example.com">

        <LimitExcept GET POST HEAD>
        Require all denied
        </LimitExcept>
        Options FollowSymLinks
        DirectoryIndex index.html
        AllowOverride None
        <RequireAll>
        Require ip ${GOODIPS}
        </RequireAll>
    </Directory>
</VirtualHost>

Was habe ich übersehen?

Danke und Gruß
schnurzelat
 
OP
S

schnurzelat

Member
Ich habe jetzt TLS 1.3 am Laufen. Ausschlaggebend war, neben den o. g. Voraussetzungen, ein Kernel >= 4.13 und eine Einstellung unter

/etc/sysconfig/apache2

Code:
APACHE_SERVER_FLAGS="SSL"

Diese Einstellung ist bei anderen Distributionen nicht notwendig, so dass ich darauf auch nicht ohne weiteres gekommen bin. Das Fehlen dieser Einstellung, führt meines Erachtens zu einer nicht schlüssigen Fehlermeldung, wie das erwähnte "SSLProtocol: Illegal protocol 'TLSv1.3'".

Um einen signierten Kernel zu bekommen, habe ich das System auf Tumbleweed upgegradet. In der vhost Einstellung können die meisten SSL Parameter entfallen.

Ich hoffe, dass jemand die Infos gebrauchen kann.

Gruß schnurzelat
 
Oben