Bug 44991 - Cоединение только по протоколу TLS 1.3
Summary: Cоединение только по протоколу TLS 1.3
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-fbi (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 critical
Assignee: manowar@altlinux.org
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2023-01-21 10:44 MSK by Andrey Cherepanov
Modified: 2024-02-21 17:02 MSK (History)
5 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Andrey Cherepanov 2023-01-21 10:44:07 MSK 
nmap --script ssl-enum-ciphers -p 8080 127.0.0.1
Starting Nmap 7.80 ( https://nmap.org ) at 2023-01-20 17:04 +05
Nmap scan report for localhost.localdomain (127.0.0.1)
Host is up (0.000038s latency).

PORT     STATE SERVICE
8080/tcp open  http-proxy
| ssl-enum-ciphers:
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: client
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: client
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds
Конфигов задающих или меняющих это не нашел.

При этом явно указав 1_3, тоже вроде работает

openssl s_client -connect 127.0.0.1:8080  -tls1_3
Надо понять, можно ли сделать 1_3 дефолтным?
Comment 1 Владимир 2024-02-19 13:59:45 MSK 
Добрый день.
Актуально.
Comment 2 manowar@altlinux.org 2024-02-20 13:07:56 MSK 
Насколько я вижу, libvhttpd (который использует ahttpd) линкуется с OpenSSL и при настройке сокета для работы по TLS не использует никаких специальных параметров (кроме сертификата и ключа). Мне кажется, что в первом приближении проблема должна закрываться общесистемным конфигом /etc/openssl/openssl.cnf (и ещё там есть cipher-list.conf).
Comment 3 manowar@altlinux.org 2024-02-20 19:17:29 MSK 
Чинить сперва будем в Сизифе.
Comment 5 Repository Robot 2024-02-21 17:02:39 MSK 
alterator-fbi-5.49.4-alt1 -> sisyphus:

 Tue Feb 20 2024 Paul Wolneykien <manowar@altlinux> 5.49.4-alt1
 - Fixed a typo in the ahttpd.acl.conf(5) manual page.
 - Configure ahttpd to use TLSv1.3 or higher (closes: 44991).