Seit dem letzten OpenSSL-Upgrade auf meinem Debian-Server können meine MySQL-Clients keine Verbindung mehr herstellen und geben die folgende Meldung aus
SSL connection error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
Ich denke, das soll verhindernStauAnschläge.
Dank anhttps://weakdh.org/sysadmin.htmlIch weiß, wie ich stärkere Diffie-Hellman-Parameter generieren kann. Ich finde jedoch keine MySQL-Konfigurationsoption, um diese tatsächlich zu verwenden.
Weiß jemand?
Antwort1
Die Versionshinweise zu MySQL 5.7.6 enthalten Folgendes:
Sicherheitsfix:Aufgrund des LogJam-Problems (https://weakdh.org/), OpenSSL hat die Diffie-Hellman-Schlüssellängenparameter für openssl-1.0.1n und höher geändert. OpenSSL hat eine detaillierte Erklärung unter bereitgestellthttp://openssl.org/news/secadv_20150611.txt. Um diese Änderung in MySQL zu übernehmen, wurde die in vio/viosslfactories.c zum Erstellen von Diffie-Hellman-Schlüsseln verwendete Schlüssellänge von 512 auf 2.048 Bit erhöht. (Fehler Nr. 77275, Fehler Nr. 21221862, Fehler Nr. 18367167, Fehler Nr. 21307471)
Daraus lässt sich schließen, dass die DH-Größe in MySQL vor 5.7.6 auf 512 Bit fest codiert war (permanenter Stau?). Da spätere Versionen von OpenSSL diese schwachen Schlüssel ablehnen, scheint ein Upgrade von OpenSSL ohne Upgrade von MySQL Probleme zu verursachen.
Antwort2
Wir konnten unsere Verbindungsprobleme beheben, indem wir die Verwendung einer Nicht-Diffie-Hellman-SSL-Verschlüsselung erzwangen.
Mit unserem mysql 5.5.42 Linux-Client hatten wir Erfolg mit der Angabe der
--ssl-cipher=AES256-SHABefehlszeilenoption, wie inDasFehlerbericht.Unser (Java7) MySQL 5.1.35 jdbc-Client mochte diese Chiffre jedoch nicht, funktionierte aber, als wir sie
enabledSSLCipherSuites=TLS_RSA_WITH_AES_128_CBC_SHAwie empfohlen in unserer Verbindungszeichenfolge spezifiziertenHier.
Ihre Ergebnisse sind variabel.