Toon posts:

[Apache2 SSLv2 disable]

Pagina: 1
Acties:

Onderwerpen

Apache Ssl

dinsdag 16 maart 2010 10:50

Acties:
  • 0 Henk 'm!
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 12:23

CrankyGamerOG

Assumption is the mother.....

Topicstarter
Aangezien SSLv2 niet meer aan te raden is wil ik de apache server dwingen om alleen SSLv3 en hogere ciphers te accepteren.
Nou zou je denken dit is simpel, en dat hoort het normaal ook te zijn,maar op een vage manier accepteerd hij dit bij mij gewoon niet (of wel ligt eraan hoe je het bekijkt)

ik heb in mijn /etc/apache2/mods-enabled/

2 bestanden staan mbt SSL

code:
1
2
3

/etc/apache2/mods-enabled# ls | grep ssl
ssl.conf
ssl.load


code:
1
2

/etc/apache2/mods-enabled# cat ssl.load
LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so


Relevante stukje uit ssl.conf
code:
1
2
3
4
5
6
7
8
9

#   SSL Cipher Suite:
#   List the ciphers that the client is permitted to negotiate.
#   See the mod_ssl documentation for a complete list.
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
#   enable only secure ciphers:
SSLCipherSuite HIGH:MEDIUM:!ADH

# enable only secure protocols: SSLv3 and TLSv1, but not SSLv2
SSLProtocol all -SSLv2


Nu zou je denken dat hij alleen nog maar SSLv3 accepteerd grumbl ACCEPTEERT met een goeie dikke Cipher, zou je denken dus.

SSLv2 Connectie.
code:
1
2

openssl s_client -ssl2 -connect localhost:443
CONNECTED(00000003)


Connectie Lage Cypher
code:
1
2

openssl s_client -connect localhost:443 -cipher LOW:EXP
CONNECTED(00000003)


SSLv3 Connectie
code:
1
2
3

openssl s_client -ssl3 -connect localhost:443
CONNECTED(00000003)
9837:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:284:



Hummmm? Iemand enig idee?


Handige versie info en stuff

code:
1
2

/etc/apache2/mods-enabled#openssl version
OpenSSL 0.9.8g 19 Oct 2007


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

/etc/apache2/mods-enabled# openssl ciphers -v
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
DES-CBC3-MD5            SSLv2 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=MD5 
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
DHE-DSS-AES128-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA1
AES128-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1
RC2-CBC-MD5             SSLv2 Kx=RSA      Au=RSA  Enc=RC2(128)  Mac=MD5 
RC4-SHA                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=SHA1
RC4-MD5                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=MD5 
RC4-MD5                 SSLv2 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=MD5 
EDH-RSA-DES-CBC-SHA     SSLv3 Kx=DH       Au=RSA  Enc=DES(56)   Mac=SHA1
EDH-DSS-DES-CBC-SHA     SSLv3 Kx=DH       Au=DSS  Enc=DES(56)   Mac=SHA1
DES-CBC-SHA             SSLv3 Kx=RSA      Au=RSA  Enc=DES(56)   Mac=SHA1
DES-CBC-MD5             SSLv2 Kx=RSA      Au=RSA  Enc=DES(56)   Mac=MD5 
EXP-EDH-RSA-DES-CBC-SHA SSLv3 Kx=DH(512)  Au=RSA  Enc=DES(40)   Mac=SHA1 export
EXP-EDH-DSS-DES-CBC-SHA SSLv3 Kx=DH(512)  Au=DSS  Enc=DES(40)   Mac=SHA1 export
EXP-DES-CBC-SHA         SSLv3 Kx=RSA(512) Au=RSA  Enc=DES(40)   Mac=SHA1 export
EXP-RC2-CBC-MD5         SSLv3 Kx=RSA(512) Au=RSA  Enc=RC2(40)   Mac=MD5  export
EXP-RC2-CBC-MD5         SSLv2 Kx=RSA(512) Au=RSA  Enc=RC2(40)   Mac=MD5  export
EXP-RC4-MD5             SSLv3 Kx=RSA(512) Au=RSA  Enc=RC4(40)   Mac=MD5  export
EXP-RC4-MD5             SSLv2 Kx=RSA(512) Au=RSA  Enc=RC4(40)   Mac=MD5  export


code:
1
2
3

/etc/apache2/mods-enabled# apache2 -v
Server version: Apache/2.2.8 (Ubuntu)
Server built:   Mar  9 2010 20:45:36

[ Voor 42% gewijzigd door CrankyGamerOG op 16-03-2010 11:47 ]

KPN - Vodafone Ziggo Partner

dinsdag 16 maart 2010 11:29

Acties:
  • 0 Henk 'm!
  • _eXistenZ_
  • Registratie: Februari 2004
  • Laatst online: 16-09 02:11

_eXistenZ_

Hij/zij/het stam+t, accepteert dus

Welke distro draai je? Ik heb zelf onlangs ook SSL opgezet op Gentoo en het zou dus goed kunnen dat die hetzelfde flikt :o ga even testen... Ik heb iig precies hetzelfde als jou geconfigureerd, zou gewoon goed moeten zijn lijkt mij... Kan je niet naar een nieuwere versie upgraden?

There is no replacement for displacement!

dinsdag 16 maart 2010 11:48

Acties:
  • 0 Henk 'm!
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 12:23

CrankyGamerOG

Assumption is the mother.....

Topicstarter
_eXistenZ_ schreef op dinsdag 16 maart 2010 @ 11:29:
Hij/zij/het stam+t, accepteert dus
grumbel, aangepast

en welke distro .....
code:
1
2
3

/etc/apache2/mods-enabled# apache2 -v
Server version: Apache/2.2.8 (Ubuntu)
Server built:   Mar  9 2010 20:45:36

[ Voor 28% gewijzigd door CrankyGamerOG op 16-03-2010 11:55 ]

KPN - Vodafone Ziggo Partner

dinsdag 16 maart 2010 11:58

Acties:
  • 0 Henk 'm!
  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Probeer deze eens?
code:
1

SSLProtocol +SSLv3 +TLSv1

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

dinsdag 16 maart 2010 12:07

Acties:
  • 0 Henk 'm!
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 12:23

CrankyGamerOG

Assumption is the mother.....

Topicstarter
Nvidiot schreef op dinsdag 16 maart 2010 @ 11:58:
Probeer deze eens?
code:
1

SSLProtocol +SSLv3 +TLSv1
Helaas

code:
1
2

/etc/apache2/mods-enabled# openssl s_client -connect localhost:443 -ssl2
CONNECTED(00000003)


code:
1
2
3

/etc/apache2/mods-enabled# openssl s_client -connect localhost:443 -ssl3
CONNECTED(00000003)
18061:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:284:


code:
1
2
3

# enable only secure protocols: SSLv3 and TLSv1, but not SSLv2
#SSLProtocol all -SSLv2
SSLProtocol +SSLv3 +TLSv1


Hij laad die conf wel in want ik had een typefoute gemaakt en kreeg toen :

code:
1
2
3
4
5

/etc/apache2/mods-enabled# /etc/init.d/apache2 start
 * Starting web server apache2
Syntax error on line 74 of /etc/apache2/mods-enabled/ssl.conf:
SSLProtocol: Illegal protocol '!SSLv2'
   ...fail!

KPN - Vodafone Ziggo Partner

dinsdag 16 maart 2010 16:43

Acties:
  • 0 Henk 'm!
  • _eXistenZ_
  • Registratie: Februari 2004
  • Laatst online: 16-09 02:11

_eXistenZ_

Hmm raar, ik doe PRECIES hetzelfde als jou in mijn config en daar krijg ik dit:

code:
1
2
3

openssl s_client -ssl2 -connect localhost:443
CONNECTED(00000003)
31337:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

dus hij connect wel maar lijkt SSL2-verbindingen gelijk weer te kicken.

Mijn versie:

code:
1
2
3

apache2 -v
Server version: Apache/2.2.14 (Unix)
Server built:   Dec  7 2009 22:48:33


Dus ik denk dat je gewoon een nieuwe versie moet installeren :)

[ Voor 8% gewijzigd door _eXistenZ_ op 16-03-2010 16:46 ]

There is no replacement for displacement!

dinsdag 16 maart 2010 16:47

Acties:
  • 0 Henk 'm!
  • Orion84
  • Registratie: April 2002
  • Laatst online: 16-09 17:40

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Worden de betreffende opties niet nog ergens anders (bijvoorbeeld in de betreffende vhost config) overschreven?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 16 maart 2010 16:48

Acties:
  • 0 Henk 'm!
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 12:23

CrankyGamerOG

Assumption is the mother.....

Topicstarter
Orion84 schreef op dinsdag 16 maart 2010 @ 16:47:
Worden de betreffende opties niet nog ergens anders (bijvoorbeeld in de betreffende vhost config) overschreven?
Nee dat dacht ik eerst ook, maar ik heb de vhost_ssl.conf nagelopen en daar staat niks in met dit tot betrekking.

KPN - Vodafone Ziggo Partner

dinsdag 16 maart 2010 17:52

Acties:
  • 0 Henk 'm!
  • hostname
  • Registratie: April 2009
  • Laatst online: 17:56

hostname

SSLProtocol +SSLv3 +TLSv1 gaat niet werken, omdat de default op all staat wordt SSLv2 niet uitgeschakeld. Probeer eens +SSLv3 +TLSv1 -SSLv2. All -SSLv2 geeft feitelijk '+SSLv3 +TLSv1 +SSLv2 -SSLv1', misschien dat Apache daarover struikelt.

Ik twijfel ook een beetje of je SSLChiperSuite wel aan de specificaties voor de config optie voldoet. Staat hier niks over in de logs? Probeer dit is:
code:
1

SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:+EXP:+eNULL

woensdag 17 maart 2010 09:02

Acties:
  • 0 Henk 'm!
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 12:23

CrankyGamerOG

Assumption is the mother.....

Topicstarter
hostname schreef op dinsdag 16 maart 2010 @ 17:52:
+SSLv3 +TLSv1 -SSLv2. All -SSLv2 g
Dit doet al iets !

code:
1
2
3

/etc/apache2/mods-enabled# openssl s_client -connect localhost:443 -ssl2
CONNECTED(00000003)
21697:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

code:
1
2
3

openssl s_client -connect localhost:443 -ssl3
CONNECTED(00000003)
21701:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:284:

Maar zoals je ziet gaat SSLv3 nog niet goed?
Probeer dit is:
code:
1

SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:+EXP:+eNULL
Dit heb ik dus gedaan met bovenstaande resultaat.

KPN - Vodafone Ziggo Partner

woensdag 17 maart 2010 09:29

Acties:
  • 0 Henk 'm!
  • hostname
  • Registratie: April 2009
  • Laatst online: 17:56

hostname

Uhm, een wilde gok, probeer dit eens:
code:
1
2

SSLProtocol +TLSv1 +SSLv3 -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:+SSLv3:+TLSv1:+EXP:+eNULL

donderdag 18 maart 2010 09:17

Acties:
  • 0 Henk 'm!
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 12:23

CrankyGamerOG

Assumption is the mother.....

Topicstarter
Helaas :(
Ik word hier echt stuitergek van, ik zie gewoon niet waarom het niet werkt.
Zou het een bug zijn in OpenSSL 0.9.8g ? :/

Maar nog vager is wel het volgende, ik zie dus met debug dat de hele SSL niet naar behoren werkt.

De eerste keer zie je netjes dat hij SSLv2 niet accepteert.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

openssl s_client -connect localhost:443 -ssl2 -debug
CONNECTED(00000003)
write to 0x948f688 [0x9487181] (45 bytes => 45 (0x2D))
0000 - 80 2b 01 00 02 00 12 00-00 00 10 07 00 c0 03 00   .+..............
0010 - 80 01 00 80 06 00 40 04-00 80 02 00 80 b6 58 6a   ......@.......Xj
0020 - 5c 8d ec 15 2d 0a 02 c4-21 ee ce 95 db            \...-...!....
read from 0x948f688 [0x947f178] (2 bytes => 2 (0x2))
0000 - 3c 21                                             <!
read from 0x948f688 [0x947f17a] (15394 bytes => 278 (0x116))
0000 - 44 4f 43 54 59 50 45 20-48 54 4d 4c 20 50 55 42   DOCTYPE HTML PUB
0010 - 4c 49 43 20 22 2d 2f 2f-49 45 54 46 2f 2f 44 54   LIC "-//IETF//DT
0020 - 44 20 48 54 4d 4c 20 32-2e 30 2f 2f 45 4e 22 3e   D HTML 2.0//EN">
0030 - 0a 3c 68 74 6d 6c 3e 3c-68 65 61 64 3e 0a 3c 74   .<html><head>.<t
0040 - 69 74 6c 65 3e 35 30 31-20 4d 65 74 68 6f 64 20   itle>501 Method 
0050 - 4e 6f 74 20 49 6d 70 6c-65 6d 65 6e 74 65 64 3c   Not Implemented<
0060 - 2f 74 69 74 6c 65 3e 0a-3c 2f 68 65 61 64 3e 3c   /title>.</head><
0070 - 62 6f 64 79 3e 0a 3c 68-31 3e 4d 65 74 68 6f 64   body>.<h1>Method
0080 - 20 4e 6f 74 20 49 6d 70-6c 65 6d 65 6e 74 65 64    Not Implemented
0090 - 3c 2f 68 31 3e 0a 3c 70-3e 80 2b 01 20 74 6f 20   </h1>.<p>.+. to 
00a0 - 2f 69 6e 64 65 78 2e 68-74 6d 6c 20 6e 6f 74 20   /index.html not 
00b0 - 73 75 70 70 6f 72 74 65-64 2e 3c 62 72 20 2f 3e   supported.<br />
00c0 - 0a 3c 2f 70 3e 0a 3c 68-72 3e 0a 3c 61 64 64 72   .</p>.<hr>.<addr
00d0 - 65 73 73 3e 41 70 61 63-68 65 20 53 65 72 76 65   ess>Apache Serve
00e0 - 72 20 61 74 20 69 74 62-79 74 65 73 31 2e 68 69   r at i
00f0 - 78 2e 6e 6c 20 50 6f 72-74 20 38 30 3c 2f 61 64   x.nl Port 80</ad
0100 - 64 72 65 73 73 3e 0a 3c-2f 62 6f 64 79 3e 3c 2f   dress>.</body></
0110 - 68 74 6d 6c 3e 0a                                 html>.
read from 0x948f688 [0x947f290] (15116 bytes => 0 (0x0))
12093:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:


De 2e keer echter blijft hij gewoon hangen? 8)7
code:
1
2
3
4
5
6

openssl s_client -connect localhost:443 -ssl2 -debug
CONNECTED(00000003)
write to 0x90f2688 [0x90ea181] (45 bytes => 45 (0x2D))
0000 - 80 2b 01 00 02 00 12 00-00 00 10 07 00 c0 03 00   .+..............
0010 - 80 01 00 80 06 00 40 04-00 80 02 00 80 02 22 bf   ......@.......".
0020 - d1 dd f1 3b e3 2f 61 a4-0f c0 11 eb 09            ...;./a......


En dan kan ik hem gerust 30 minuten zo laten staan, de transactie gaat niet verder :/

En ofcourse SSLv3 gaat ook nog steeds niet goed
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

openssl s_client -connect localhost:443 -ssl3 -debug
CONNECTED(00000003)
write to 0x9460168 [0x946ae18] (87 bytes => 87 (0x57))
0000 - 16 03 00 00 52 01 00 00-4e 03 00 4b a1 e2 20 8f   ....R...N..K.. .
0010 - 13 1f 01 83 54 53 72 41-d8 97 03 68 a5 36 46 8b   ....TSrA...h.6F.
0020 - 3d bd d4 90 63 0c 39 3a-33 c3 bd 00 00 26 00 39   =...c.9:3....&.9
0030 - 00 38 00 35 00 16 00 13-00 0a 00 33 00 32 00 2f   .8.5.......3.2./
0040 - 00 05 00 04 00 15 00 12-00 09 00 14 00 11 00 08   ................
0050 - 00 06 00 03 02 01                                 ......
0057 - <SPACES/NULS>
read from 0x9460168 [0x9466608] (5 bytes => 5 (0x5))
0000 - 3c 21 44 4f 43                                    <!DOC
write to 0x9460168 [0x9470778] (7 bytes => 7 (0x7))
0000 - 15 21 44 00 02 02 28                              .!D...(
12149:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:284:

[ Voor 94% gewijzigd door CrankyGamerOG op 19-03-2010 11:53 ]

KPN - Vodafone Ziggo Partner

donderdag 18 maart 2010 18:16

Acties:
  • 0 Henk 'm!
  • serkoon
  • Registratie: April 2000
  • Niet online

serkoon

mekker.

Eerlijk gezegd ziet dat er uit als dat de server HTTP praat op de SSL-poort.. Mis je toevallig het volgende in een vhost config?:
code:
1
2
3
4
5

<VirtualHost *:443>
   ...
   SSLEngine on
   ...
</VirtualHost>


Ik heb het volgende in mijn Apache 2.2.13 op FreeBSD 8.0 configuratie:

code:
1
2

SSLProtocol      +SSLv3 +TLSv1
SSLCiphersuite   HIGH:MEDIUM:!aNULL


Simpel, maar werkt wel: alleen SSLv3 en TLSv1 doen het met MEDIUM en HIGH als cipher suites.

[ Voor 17% gewijzigd door serkoon op 18-03-2010 18:20 ]

donderdag 18 maart 2010 19:04

Acties:
  • 0 Henk 'm!

Verwijderd

serkoon schreef op donderdag 18 maart 2010 @ 18:16:
Eerlijk gezegd ziet dat er uit als dat de server HTTP praat op de SSL-poort.
Waar leid je dat uit af?

donderdag 18 maart 2010 21:27

Acties:
  • 0 Henk 'm!
  • serkoon
  • Registratie: April 2000
  • Niet online

serkoon

mekker.

Waar leid je dat uit af?
Zie de post direct boven de mijne. OpenSSL s_client stuurt een SSL packet en krijgt een HTTP response 501 'Method Not Implemented' terug. (Al staat er ook 'Apache Server at XXX Port 80' in de melding, wat weer niet strookt met het connecten naar poort 443)

[ Voor 30% gewijzigd door serkoon op 19-03-2010 13:20 ]

donderdag 18 maart 2010 22:27

Acties:
  • 0 Henk 'm!

Verwijderd

Ah, nu zie ik het. Ja, daar lijkt het inderdaad wel op :)

vrijdag 19 maart 2010 11:50

Acties:
  • 0 Henk 'm!
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 12:23

CrankyGamerOG

Assumption is the mother.....

Topicstarter
Hmmmm, zou het, eens even nalopen :)


edit-----

OMG hoe fail :D

bedankt iedereen..... :X

als ik idd gewoon de site test waarvoor het geld dan is alles in orde. O-)

* CrankyGamerOG gaat even met zn hoofd tegen de muur slaan..... |:( |:( |:( |:(


p.s. Serkoon zou je even je DM aan kunnen zetten.

[ Voor 86% gewijzigd door CrankyGamerOG op 19-03-2010 11:53 ]

KPN - Vodafone Ziggo Partner

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq