TLS 1.2 não funciona com curl forçado

tag-icon tag-icon ubuntu ssl openssl curl php5
TLS 1.2 não funciona com curl forçado

Eu tenho 2 servidores Ubuntu 12.04 idênticos atrás de Amazon ELBs. Um servidor é capaz de se conectar usando TLS v1.2 enquanto o outro servidor não consegue fazer uma solicitação curl usando TLS v1.2

Abaixo está o código que usei para verificar a conectividade e as versões. Uma simples solicitação curl parahttps://www.howsmyssl.com/a/checksite que retorna os conjuntos de criptografia disponíveis e tls_version usandophp test_curl.php

<?php
function get_tls_version($sslversion = null)
{
    $c = curl_init();
    curl_setopt($c, CURLOPT_URL, "https://www.howsmyssl.com/a/check");
    curl_setopt($c, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($c, CURLOPT_SSL_VERIFYHOST, false);
    curl_setopt($c, CURLOPT_SSL_VERIFYPEER, false);
    if ($sslversion !== null) {
        curl_setopt($c, CURLOPT_SSLVERSION, $sslversion);
    }
    $rbody = curl_exec($c);
    if ($rbody === false) {
        $errno = curl_errno($c);
        $msg = curl_error($c);
        curl_close($c);
        return "Error! errno = " . $errno . ", msg = " . $msg;
    } else {
        $r = json_decode($rbody);
        curl_close($c);
        return $r->tls_version;
    }
}

echo "OS: " . PHP_OS . "\n";
echo "uname: " . php_uname() . "\n";
echo "PHP version: " . phpversion() . "\n";
$curl_version = curl_version();
echo "curl version: " . $curl_version["version"] . "\n";
echo "SSL version: " . $curl_version["ssl_version"] . "\n";
echo "SSL version number: " . $curl_version["ssl_version_number"] . "\n";
echo "OPENSSL_VERSION_NUMBER: " . dechex(OPENSSL_VERSION_NUMBER) . "\n";
echo "TLS test (default): " . get_tls_version() . "\n";
echo "TLS test (TLS_v1): " . get_tls_version(1) . "\n";
echo "TLS test (TLS_v1_2): " . get_tls_version(6) . "\n";
?>

2 servidores dão as respostas abaixo;

servidor1

OS: Linux
uname: Linux www-leapset-us-west-1b-n1-new 3.2.0-31-virtual #50-Ubuntu SMP Fri Sep 7 16:36:36 UTC 2012 x86_64
PHP version: 5.3.10-1ubuntu3.4
curl version: 7.22.0
SSL version: OpenSSL/1.0.1
SSL version number: 0
OPENSSL_VERSION_NUMBER: 1000100f

TLS test (default): TLS 1.1
TLS test (TLS_v1): TLS 1.0
TLS test (TLS_v1_2): TLS 1.1

servidor 2

OS: Linux
uname: Linux stag-order-ec1.leapset.com 3.2.0-40-virtual #64-Ubuntu SMP Mon Mar 25 21:42:18 UTC 2013 x86_64
PHP version: 5.3.10-1ubuntu3.11
curl version: 7.22.0
SSL version: OpenSSL/1.0.1
SSL version number: 0
OPENSSL_VERSION_NUMBER: 1000100f

TLS test (default): TLS 1.2
TLS test (TLS_v1): TLS 1.0
TLS test (TLS_v1_2): TLS 1.2

Além disso, gerei uma instância do docker com o Ubuntu 12.04 idêntica aos servidores e executei o arquivo fornecido usando php curl_test.phpe também se comportou da mesma maneira queservidor 2

Além disso, curl --version em 2 servidores fornece a seguinte saída nos 2 servidores e eles têm as mesmas versões e correspondem

servidor 1 e servidor 2 ambos

curl 7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3
Protocols: dict file ftp ftps gopher http https imap imaps ldap pop3 pop3s rtmp rtsp smtp smtps telnet tftp 
Features: GSS-Negotiate IDN IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP

Comando também: a versão do openssl em ambos os servidores é a mesma. servidor 1 e servidor 2 ambos

OpenSSL 1.0.1 14 Mar 2012

A política de segurança habilitada em ELBs é a mesma descrita aquihttps://aws.amazon.com/about-aws/whats-new/2017/02/elastic-load-balancing-support-for-tls-1-1-and-tls-1-2-pre-definido- políticas de segurança/eles são a configuração padrão ELBSecurityPolicy-2016-08 que corresponde às configurações padrão pré-existentes e oferece suporte ao TLS versão 1.0 e superior.

Além disso, descobri que o curl usa o openssl subjacente para lidar com o TLS. Portanto, verifiquei a conectividade do openssl usando TLS v1.2

No servidor 1; quando usado o seguinte comando para verificar a conectividade do openssl

openssl s_client -connect google.com:443

ele se conecta usando TLS v1.1 No entanto, quando eu forço o TLS v1.2 usandoopenssl s_client -connect google.com:443 -tls1_2

ele é capaz de se conectar a google.com:443 usando TLS v1.2 e usaECDHE-RSA-AES256-GCM-SHA384esquema de criptografia para conectividade.

Então eu tentei;openssl s_client -cipher 'ECDHE-RSA-AES256-GCM-SHA384' -connect www.google.com:443

e issofalhou no servidor 1mas funcionou no servidor 2

Avançar; openssl s_client -cipher 'ECDHE-RSA-AES256-GCM-SHA384' -connect www.google.com:443 -tls1_2funciona bem no servidor 1 e se conecta usandoECDHE-RSA-AES256-GCM-SHA384esquema de cifra.

Não tenho certeza por queservidor1não consigo me conectar usando TLS v1.2 em solicitações curl e não estou em condições de atualizar a versão openssl ou curl porque o servidor 1 é um servidor de produção.

Avançar,

Eu verifiquei /etc/ssl/openssl.cnf e /usr/lib/ssl/openssl.cnf em ambos os servidores e eles também são idênticos.

Qualquer ajuda para depurar ou ativar/forçar o tls 1.2 no servidor 1 é muito apreciada.

informação relacionada