LINUX.ORG.RU

10
Всего сообщений: 124

CENTOS + NGINX + TLSv1.3

Приветствую!

# CentOS release 6.10 (Final)

openssl version -a
OpenSSL 1.1.1g  21 Apr 2020
built on: Mon Jul  6 08:13:45 2020 UTC
platform: linux-x86_64
options:  bn(64,64) rc4(16x,int) des(int) idea(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG
OPENSSLDIR: "/usr/local"
ENGINESDIR: "/usr/local/lib64/engines-1.1"
Seeding source: os-specific



# nginx -V
nginx version: nginx/1.19.0
built by gcc 7.3.1 20180303 (Red Hat 7.3.1-5) (GCC)
built with OpenSSL 1.1.1g  21 Apr 2020
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --with-openssl=/opt/lib/openssl-1.1.1g --with-openssl-opt=enable-tls1_3
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS;
openssl s_client -connect domain.ru:443 -tls1_3
CONNECTED(00000004)
140490505836288:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1544:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 237 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)

Не могу понять причины почему не хочет работать по TLSv1.3

 

mrxk ()

email разрешить одновременно plain text на одних портах и форсировать tls на других

Многоуважаемый all,

ищу примеры конфигурации dovecot,

которая позволила бы ему слушать service imap на 143 и разрешать plain text, но при этом скажем также слушать на 1143 и допускать только tls/starttls подключения?

такое впечатление что «disable_plaintext_auth = yes» это глобальная настройка или можно настроить отдельно для разных портов?

 , , ,

Den0k ()

эмуляция RDP сервера

Здравствуйте, жители ЛОР.

Пожалуйста, посоветуйте и поделитесь опытом вот в такой ситуации:

во время ресерча одного из linux клиентов RDP возникла необходимость имитировать серверную часть протокола, что бы клиент успешно установил соединение и его поведение можно было анализировать и тестировать.

Сложность возникает у меня в том, что сетевой трафик между клиентом и сервером обёрнут в шифрование, причем не простое, а какое-то весьма сложное. сперва возникла идея просто хукнуть функции клиента фридой, но, для полного понимания происходящего, да и для дальнейшей реализации задуманного - нужно что-то в духе mitmproxy под tcp траффик. Но только этот tcp траффик должен быть расшифрован.

Со стороны клиента существует поддержка следующих алгоритмов шифрования:

-sec-nla             	Disable NLA protocol security
-sec-rdp             	Disable RDP protocol security
-sec-tls             	Disable TLS protocol security

как минимум 1 должен быть включен.

Со стороны же сервера - методом варварства в regedit - удалось вырубить принудительное TLS. Данные стали более читабельные, но все равно зашифрованные.

mitmproxy, bettercap, burp, tcpproxy, sslsplit - все они не дали нужного результата.

Вопрос: господа, скажите пожалуйста, как записать (или сгенерировать) и после этого воспроизвести НЕ ЗАШИФРОВАННЫЙ, доступный для внесения изменений, траффик от реального сервера на нужный порт, что бы клиент мог подключиться к этому порту и установить с «подсунутым траффиком» валидную сессию.

Спасибо….

 , ,

swagcat228 ()

Debian 10 + Nginx + TLSv1.3

Решил тут настроить TLSv1.3. Установленные версии Nginx и OpenSSL вроде как уже имеют его поддержку.

Прописал нужные версии и актуальные чиперсы:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers   ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

Ребутнул nginx. Проверяю в ssllabs.com. Работают только 1.0 и 1.2. 1.3 нет и откуда то появился 1.0.

apt-cache policy nginx

nginx:
  Installed: 1.14.2-2+deb10u1
  Candidate: 1.14.2-2+deb10u1
  Version table:
 *** 1.14.2-2+deb10u1 500
        500 http://deb.debian.org/debian buster/main amd64 Packages
        500 http://security.debian.org buster/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.14.1-1~bpo9+1 100
        100 http://mirror.hetzner.de/debian/packages stretch-backports/main amd64 Packages
     1.10.3-1+deb9u3 500
        500 http://mirror.hetzner.de/debian/packages stretch/main amd64 Packages
        500 http://mirror.hetzner.de/debian/security stretch/updates/main amd64 Packages

apt-cache policy openssl

openssl:
  Installed: 1.1.1g-1+0~20200421.17+debian10~1.gbpf6902f
  Candidate: 1.1.1g-1+0~20200421.17+debian10~1.gbpf6902f
  Version table:
 *** 1.1.1g-1+0~20200421.17+debian10~1.gbpf6902f 500
        500 https://packages.sury.org/php buster/main amd64 Packages
        100 /var/lib/dpkg/status
     1.1.1d-0+deb10u3 500
        500 http://deb.debian.org/debian buster/main amd64 Packages
        500 http://security.debian.org buster/updates/main amd64 Packages
     1.1.0l-1~deb9u1 500
        500 http://mirror.hetzner.de/debian/packages stretch/main amd64 Packages
        500 http://mirror.hetzner.de/debian/security stretch/updates/main amd64 Packages

nginx -V

nginx version: nginx/1.14.2
built with OpenSSL 1.1.1c  28 May 2019 (running with OpenSSL 1.1.1g  21 Apr 2020)
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-tBUzFN/nginx-1.14.2=. -fstack-protector-strong -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -fPIC' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_geoip_module=dynamic --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --with-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-stream_ssl_preread_module --with-mail=dynamic --with-mail_ssl_module --add-dynamic-module=/build/nginx-tBUzFN/nginx-1.14.2/debian/modules/http-auth-pam --add-dynamic-module=/build/nginx-tBUzFN/nginx-1.14.2/debian/modules/http-dav-ext --add-dynamic-module=/build/nginx-tBUzFN/nginx-1.14.2/debian/modules/http-echo --add-dynamic-module=/build/nginx-tBUzFN/nginx-1.14.2/debian/modules/http-upstream-fair --add-dynamic-module=/build/nginx-tBUzFN/nginx-1.14.2/debian/modules/http-subs-filter

Как я понимаю, нужно пересобирать nginx с использованием OpenSSL 1.1.1g или как-то можно решить без пересборки?

 , , ,

zevilz ()

wireguard tls handshake problem

Доброго времени суток.

Имеем следующее ноутбук -> wifi -> router -> wireguard-gw -> wireguard server -> internet

При попытке открыть некоторые хосты с ноутбука получаю следующее:

curl -v https://rutracker.org
*   Trying 195.82.146.214:443...
* Connected to rutracker.org (195.82.146.214) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /data/data/com.termux/files/usr/etc/tls/cert.pem
  CApath: /data/data/com.termux/files/usr/etc/tls/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* OpenSSL SSL_connect: Connection reset by peer in connection to rutracker.org:443
* Closing connection 0
curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection to rutracker.org:443

Что пробовал:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380

Без изменений. С самой машины с wg все отстреливает как надо.

Конфиги:

Server

[Interface]
Address = 10.100.100.10/24
SaveConfig = false
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; iptables -D FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
ListenPort = 51820
PrivateKey = 


[Peer]
PublicKey = 
AllowedIPs = 10.100.100.19/32, 10.66.1.254/24

Client

[Interface]
Address = 10.100.100.19/24
PrivateKey = 
DNS = 1.1.1.1, 1.0.0.1

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE; iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens18 -j MASQUERADE; iptables -D FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

[Peer]
PublicKey = 
Endpoint = :51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

 , , ,

zerofun ()

Linux kernel TLS

Привет всем есть кто-нибудь кто в ядре разбирается ? Подскажите как установить сокет клиент соединение к https серверу используя только linux kernel api без openssl/gnussl и тд. Поиском нашел только:

setsockopt(m_socket, SOL_TCP, TCP_ULP, "tls", sizeof("tls"));

struct tls12_crypto_info_aes_gcm_128 crypto_info;
crypto_info.info.version        = TLS_1_2_VERSION;
crypto_info.info.cipher_type    = TLS_CIPHER_AES_GCM_128;

vector<unsigned char> iv_write          (TLS_CIPHER_AES_GCM_128_IV_SIZE     , 0);
vector<unsigned char> seq_number_write  (TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE, 0);
vector<unsigned char> cipher_key_write  (TLS_CIPHER_AES_GCM_128_KEY_SIZE    , 0);
vector<unsigned char> implicit_iv_write (TLS_CIPHER_AES_GCM_128_SALT_SIZE   , 0);

memcpy(crypto_info.iv, iv_write.data()              , TLS_CIPHER_AES_GCM_128_IV_SIZE);
memcpy(crypto_info.rec_seq, seq_number_write.data() , TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE);
memcpy(crypto_info.key, cipher_key_write.data()     , TLS_CIPHER_AES_GCM_128_KEY_SIZE);
memcpy(crypto_info.salt, implicit_iv_write.data()   , TLS_CIPHER_AES_GCM_128_SALT_SIZE);

setsockopt(m_socket, SOL_TLS, TLS_TX, &crypto_info, sizeof(crypto_info))

но чем заполнить поля iv_write, seq_number_write, cipher_key_write, implicit_iv_write не нашел. Исходники openssl пока что не осилил. Результат выложу в открытый доступ.

 ,

volodja- ()

Perl sendmail to Telegram Bot API TLS1.2 и в Битрикс24

Есть у меня скрипт на сайте sendmail.pl отправляющий данные с сайта в базу данных, телеграм и битрикс24. Там еще СМС.ру но с ним все ок, как и с отправкой в БД. Все работало прекрасно то отключения на днях телеграм поддержки старых протоколов шифрования (использовался sha1). Сайт находится на шаред хостинге таймвеб.

Соответсвенно у меня вопросы, т.к. только изучаю язык.

Как правильно указать путь до библиотек. Какую библиотеку удобнее и надежнее использовать для tls 1.2 и как поправить рабочий скрипт? Можно и на TLS 1.3 также, как я понимаю.

Буду признателен за помощь или свое предложение по помощи за вознаграждение.

[cut=Сам скрипт сейчас] [code=perl]

package sendmail; use strict; use Encode; use JSON; use LWP::UserAgent; use MIME::Lite; use Digest::SHA qw(sha512_hex);

Кусок с telegram и битрикс

# отправляем в битрикс
$msg =~ s#<[^>]+?>#\n#g;
if ($conf::CRM_HOST && $conf::CRM_LOGIN && $conf::CRM_PASSWORD && $conf::CRM_TITLE) {
	my $response = $ua->post($conf::CRM_HOST, [
		"LOGIN"		=> $conf::CRM_LOGIN, 
		"PASSWORD"	=> $conf::CRM_PASSWORD, 
		"TITLE"		=> $conf::CRM_TITLE,
		'NAME' 		=> $fio,
		'EMAIL_HOME' => $email,
		'PHONE_HOME' => $tel,
		'COMMENTS' => $title - $text,
		'SOURCE_DESCRIPTION' => $msg,
		'SOURCE_ID' => "WEB",
	] ); 
	return($response->status_line) if !$response->is_success;
}

Телеграмм сам сделал. Битрикс еще под вопросом.

 , ,

codeme ()

Не удаётся включить TLSv1.3 в apache

Изменил строчку SSLProtocol в /etc/apache2/mods-enabled/ssl.conf:

SSLProtocol -all +TLSv1.3 +TLSv1.2

При проверке синтаксиса получаю:

AH00526: Syntax error on line 73 of /etc/apache2/mods-enabled/ssl.conf:
SSLProtocol: Illegal protocol 'TLSv1.3'
Action '-t' failed.
The Apache error log may have more information.

Версия apache:

Server version: Apache/2.4.29 (Ubuntu)
Server built:   2019-09-16T12:58:48

Версия openssl:

OpenSSL 1.1.1  11 Sep 2018

 , ,

seprik_lo ()

Far Manager for Linux и FTPES/TLS

Midnight Commander не имеет поддержки FTPES/TLS, https://midnight-commander.org/ticket/3343 (тикет висит с 21.11.2014)

Однако, Far Manager такую опцию имеет: <Alt+F4> на NetBox item, и там проставить строчку <Ftps>3</Ftps> вместо <Ftps>2</Ftps>.

Рекомендации по включению этой опции есть на официальном форуме FAR, https://forum.farmanager.com/viewtopic.php?t=6317&start=2192 (при подключении по дефолтному FTPES/SSL было сообщение «This security scheme is not implemented SSL far manager»)

Кто-нибудь пробовал far под Linux, есть ли успешный опыт коннекта по FTPES/TLS из Far Manager for Linux? Даже без client private key.

 , , ,

BruteForceSSL ()

Снова TLS handshake failed

Товарищи линуксоиды очень прошу помощи. Не могу есть и спать, уже буквально вот чесслово. Как задрочусь по какой-то теме и капец - жизнь меняется. Решил на днях попробовать поднять VPN, нашёл статью подробную, всё сделал как надо. Но при подключении получил:

Tue Dec 03 19:39:51 2019 MANAGEMENT: >STATE:1575394791,WAIT,,,,,, Tue Dec 03 19:40:51 2019 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Tue Dec 03 19:40:51 2019 TLS Error: TLS handshake failed

Полез в инет искать по ошибке инфу. Облазил и англо и рускоязычные топики. Испробовал: заново генерить ключи, менять udp(4) на tcp(4) в конфигах, отключать виндовый фаервол, менять порты. Сам с линуксами и консолями редко сталкивался. Но просто так не могу теперь бросить эту затею и развернуть какой-нибудь готовый пакет. Очень прошу помощи, что не так в настройках или где косяк ещё может быть? Помогите пожалуйста.

Как понял надо показывать конфиги: Конфиг сервера стандартный:

port 443

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh.pem

crl-verify crl.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push «redirect-gateway def1»

push «dhcp-option DNS 8.8.8.8»

push «dhcp-option DNS 8.8.4.4»

remote-cert-eku «TLS Web Client Authentication»

keepalive 10 120

tls-server

tls-auth ta.key 0

tls-timeout 120

auth SHA512

cipher AES-256-CBC

comp-lzo

max-clients 10

user nobody

group nobody

persist-key

persist-tun

status openvpn-status.log

log openvpn.log

verb 4

Конфиг на компе (не знаю что тут прятать надо а что нет, спрятал айпи):

client

dev tun

proto udp

remote йпи сервера 443

resolv-retry infinite

nobind

block-outside-dns

persist-key

persist-tun

mute-replay-warnings

remote-cert-eku «TLS Web Server Authentication»

remote-cert-tls server

tls-client

tls-auth «G:\\key\\vpn\\ta.key» 1

auth SHA512

ca «G:\\key\\vpn\\ca.crt»

cert «G:\\key\\vpn\\my_home_pc.crt»

key «G:\\key\\vpn\\my_home_pc.key»

cipher AES-256-CBC

comp-lzo

verb 3

На вине OpenVPN, на сервере CentOS. Не знаю какую инфу ещё добавить. Что может не давать соединиться с сервером, как отладить/найти ошибку, подскажите пожалуйста(

 

asd2000 ()

Ищу opensource проект с кастомной TLS state machine

Хочу посмотреть проекты (язык не важен), где люди отошли от стандарта TLS и реализовали дополнительные переходы/заменили описанные стандартом в машине состояний. Это может быть форк OpenSSL, может быть форк другой реализации или же вообще что-то написанное с нуля.
Очень сложно гуглится, есть небольшая надежда, что кто-то тут сталкивался с такими проектами.

 

maked0n ()

python: собрать последовательность сообщений из pcap файлов

Приветствую,

Есть задача парсить pcap файлы (с помощью питон-библиотеки dpkt), извлечь TLS-сессии и собрать последовательноти типов сообщений. Поскольку имеются разные версии TLS, то последовательности сообщений могут варъироваться.

Очень упрощенный пример:

- TLS сессия как правило начинается с handshake-ов между клиентом и сервером, т.е. первое сообщение с ID=22 - далее сообщение ChangeCipher c ID=20 - клиент и сервер обо всем договорились, началась передача криптованных данных в TLS сообщениях с ID=23

То есть скрипт должен пропарсить весь pcap и построить как бы граф сообщений: 22->20->23

Но в реальности это может быть значительно более длинный граф, в зависимости от приложения, версий TLS и пр.

Изначально коды этих сообщений я предполагал складывать в список (list).

Но поскольку в одном pcap куча сессий _одного_ приложения, то необходимо как-то отличать «граф» сессий друг от друга.

Что можно использовать вместо списка для данной задачи?

Спасибо!

 , , ,

cruz7 ()

Добавление сертификата Let's Encrypt на сервер Apache

Установил certbot, получил сертификаты в каталог: /etc/letsencrypt/live/mysite.com/. В конфиге apache /etc/apache2/sites-available/mysite.com.conf добавил следующее:

<VirtualHost mysite.com:443>
ServerName mysite.com:443
ServerAdmin mysite.com@protonmail.com
DocumentRoot /var/www/mysite.com
ServerAlias www.mysite.com:443
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined


SSLEngine on
SSLCertificateFile    /etc/letsencrypt/live/mysite.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mysite.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/mysite.com/fullchain.pem
</VirtualHost>

Перезапустил apache командой sudo systemctl restart apache2. На что получил ошибку

Job for apache2.service failed because the control process exited with error code.
See "systemctl status apache2.service" and "journalctl -xe" for details.

При проверке статуса работы командой: sudo systemctl status apache2

apache2.service - The Apache HTTP Server
   Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Sat 2019-10-12 14:33:34 EEST; 19s ago
  Process: 11319 ExecStop=/usr/sbin/apachectl stop (code=exited, status=1/FAILURE)
  Process: 10776 ExecReload=/usr/sbin/apachectl graceful (code=exited, status=0/SUCCESS)
  Process: 11424 ExecStart=/usr/sbin/apachectl start (code=exited, status=1/FAILURE)
 Main PID: 4182 (code=exited, status=0/SUCCESS)

Oct 12 14:33:34 k0t.l.hostens.cloud systemd[1]: Starting The Apache HTTP Server...
Oct 12 14:33:34 k0t.l.hostens.cloud apachectl[11424]: AH00526: Syntax error on line 28 of /etc/apache2/sites-enabled/mysite.com.conf:
Oct 12 14:33:34 k0t.l.hostens.cloud apachectl[11424]: Invalid command 'SSLEngine', perhaps misspelled or defined by a module not included in the server configuration
Oct 12 14:33:34 k0t.l.hostens.cloud apachectl[11424]: Action 'start' failed.
Oct 12 14:33:34 k0t.l.hostens.cloud apachectl[11424]: The Apache error log may have more information.
Oct 12 14:33:34 k0t.l.hostens.cloud systemd[1]: apache2.service: Control process exited, code=exited status=1
Oct 12 14:33:34 k0t.l.hostens.cloud systemd[1]: Failed to start The Apache HTTP Server.
Oct 12 14:33:34 k0t.l.hostens.cloud systemd[1]: apache2.service: Unit entered failed state.
Oct 12 14:33:34 k0t.l.hostens.cloud systemd[1]: apache2.service: Failed with result 'exit-code'.

Что я сделал не так и как это сделать правильно?

 , , , ,

Riniko ()

Сжатие + шифрование динамического контента

Дыры в SSL/TLS из-за использования сжатия перед шифрованием:

  • BEAST - 2011 год
  • CRIME - 2012 год
  • BREACH - 2013 год

Но все сайты по-прежнему используют gzip для динамического контента. Даже интернет-банки, даже ЛОР, лол. Всем настолько пофиг?

 , , ,

Pacmu3ka ()

как подключить диск ftp tls ?

немо не умеет к тлс коннектится

 

Talnah ()

OpelLDAP 2.4 Несколько SSL сертификатов.

Возникла необходимость для сервиса ldap добавить новый сертификат, При этом старый должен действовать.

Новые клиенты должны работать с новым сертификатом. Старые - остаться со старым.

Кто - нибудь сталкивался с решением данного вопроса?

 , , ,

z2v ()

Скандинавская альтернатива Let's Encrypt

Всем доброго дня!

Вопрос по сабжу, кто-нибудь уже использовал BuyPass в проде?

 , , ,

Twissel ()

Правда о StartTLS

Пытаюсь найти убедительные сведение о протоколе StartTLS.
С одной стороны, он новее SSL, вроде защищеннее, и даже «Яндекс рекомендуэ перейти на него».

С другой стороны, в гуглонете полно противоречивых мнений о нем, и вот самое скандальное из них:

Использования StartTLS следует избегать если это возможно.

SSL/TLS при невозможности установить защищенное при помощи шифрования и сертификатов соединение выдадут ошибку,
StartTLS начнет передачу данных в нешифрованном виде.


Полный текст статьи с обзором SSL, TLS и StartTLS здесь - https://server-gu.ru/ssl-tls-starttls/

А как считаете вы, лоровцы, где правда?

 , ,

chukcha ()

Как узнать зависимые пакеты для сборки из исходников

Всем доброго дня. OS-Debian 9 Решил собрать openssl из исходников Скачал пакет и распаковал. Зашел в директорий src и запустил команду dpkg-checkbuilddeps После чего получил ошибку «Не удалось прочитать debian/control: No such file or directory» Подскажите как будет правильней

 , , , ,

alexbalkan ()

Настройка postfix для конкретного виртуального домена

Postfix обслуживает несколько виртуальных доменов.

Один из этих доменов получает рассылку из мыльных листов, которые не поддерживают TLS encryption. И поэтому рассылка доставляется только в том случае, когда в /etc/postfix/main.cf настроено Opportunistic TLS, а именно:

smtpd_tls_security_level = may

Но глобально (для остальных виртуальных доменов, обслуживаемых этим почтовым сервером) необходимо всё-таки выставить Mandatory TLS encryption, то есть:

smtpd_tls_security_level = encrypt

Вопрос: каким образом сделать исключение для конкретного домена, чтобы он смог получать рассылку? И при этом сохранить Mandatory TLS encryption для остальных доменов.

 ,

Deleted ()