Bug 44991

Summary:	Cоединение только по протоколу TLS 1.3
Product:	Sisyphus	Reporter:	Andrey Cherepanov <cas>
Component:	alterator-fbi	Assignee:	manowar <manowar>
Status:	CLOSED FIXED	QA Contact:	qa-sisyphus
Severity:	critical
Priority:	P5	CC:	imz, manowar, nbr, sem, v.karpunin
Version:	unstable
Hardware:	x86_64
OS:	Linux

Description Andrey Cherepanov 2023-01-21 10:44:07 MSK

nmap --script ssl-enum-ciphers -p 8080 127.0.0.1
Starting Nmap 7.80 ( https://nmap.org ) at 2023-01-20 17:04 +05
Nmap scan report for localhost.localdomain (127.0.0.1)
Host is up (0.000038s latency).

PORT     STATE SERVICE
8080/tcp open  http-proxy
| ssl-enum-ciphers:
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: client
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: client
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds
Конфигов задающих или меняющих это не нашел.

При этом явно указав 1_3, тоже вроде работает

openssl s_client -connect 127.0.0.1:8080  -tls1_3
Надо понять, можно ли сделать 1_3 дефолтным?

Comment 1 Владимир 2024-02-19 13:59:45 MSK

Добрый день.
Актуально.

Comment 2 manowar@altlinux.org 2024-02-20 13:07:56 MSK

Насколько я вижу, libvhttpd (который использует ahttpd) линкуется с OpenSSL и при настройке сокета для работы по TLS не использует никаких специальных параметров (кроме сертификата и ключа). Мне кажется, что в первом приближении проблема должна закрываться общесистемным конфигом /etc/openssl/openssl.cnf (и ещё там есть cipher-list.conf).

Comment 3 manowar@altlinux.org 2024-02-20 19:17:29 MSK

Чинить сперва будем в Сизифе.

Comment 4 manowar@altlinux.org 2024-02-20 19:31:37 MSK

https://git.altlinux.org/tasks/341175/
https://git.altlinux.org/tasks/341177/
https://git.altlinux.org/tasks/341178/

Comment 5 Repository Robot 2024-02-21 17:02:39 MSK

alterator-fbi-5.49.4-alt1 -> sisyphus:

 Tue Feb 20 2024 Paul Wolneykien <manowar@altlinux> 5.49.4-alt1
 - Fixed a typo in the ahttpd.acl.conf(5) manual page.
 - Configure ahttpd to use TLSv1.3 or higher (closes: 44991).