Bug 44991

Summary: Cоединение только по протоколу TLS 1.3
Product: Sisyphus Reporter: Andrey Cherepanov <cas>
Component: alterator-fbiAssignee: manowar <manowar>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: critical    
Priority: P5 CC: imz, manowar, nbr, sem, v.karpunin
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description Andrey Cherepanov 2023-01-21 10:44:07 MSK
nmap --script ssl-enum-ciphers -p 8080 127.0.0.1
Starting Nmap 7.80 ( https://nmap.org ) at 2023-01-20 17:04 +05
Nmap scan report for localhost.localdomain (127.0.0.1)
Host is up (0.000038s latency).

PORT     STATE SERVICE
8080/tcp open  http-proxy
| ssl-enum-ciphers:
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: client
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: client
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds
Конфигов задающих или меняющих это не нашел.

При этом явно указав 1_3, тоже вроде работает

openssl s_client -connect 127.0.0.1:8080  -tls1_3
Надо понять, можно ли сделать 1_3 дефолтным?
Comment 1 Владимир 2024-02-19 13:59:45 MSK
Добрый день.
Актуально.
Comment 2 manowar@altlinux.org 2024-02-20 13:07:56 MSK
Насколько я вижу, libvhttpd (который использует ahttpd) линкуется с OpenSSL и при настройке сокета для работы по TLS не использует никаких специальных параметров (кроме сертификата и ключа). Мне кажется, что в первом приближении проблема должна закрываться общесистемным конфигом /etc/openssl/openssl.cnf (и ещё там есть cipher-list.conf).
Comment 3 manowar@altlinux.org 2024-02-20 19:17:29 MSK
Чинить сперва будем в Сизифе.
Comment 5 Repository Robot 2024-02-21 17:02:39 MSK
alterator-fbi-5.49.4-alt1 -> sisyphus:

 Tue Feb 20 2024 Paul Wolneykien <manowar@altlinux> 5.49.4-alt1
 - Fixed a typo in the ahttpd.acl.conf(5) manual page.
 - Configure ahttpd to use TLSv1.3 or higher (closes: 44991).