TLS 1.2 не работает с принудительным завиванием

tag-icon tag-icon ubuntu ssl openssl curl php5
TLS 1.2 не работает с принудительным завиванием

У меня есть 2 идентичных сервера ubuntu 12.04 за Amazon ELB. Один сервер может подключиться с использованием TLS v1.2, а другой сервер не может сделать запрос curl с использованием TLS v1.2

Ниже приведен код, который я использовал для проверки подключения и версий. Простой запрос curl дляhttps://www.howsmyssl.com/a/checkсайт, который возвращает доступные наборы шифров и tls_version, используяphp test_curl.php

<?php
function get_tls_version($sslversion = null)
{
    $c = curl_init();
    curl_setopt($c, CURLOPT_URL, "https://www.howsmyssl.com/a/check");
    curl_setopt($c, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($c, CURLOPT_SSL_VERIFYHOST, false);
    curl_setopt($c, CURLOPT_SSL_VERIFYPEER, false);
    if ($sslversion !== null) {
        curl_setopt($c, CURLOPT_SSLVERSION, $sslversion);
    }
    $rbody = curl_exec($c);
    if ($rbody === false) {
        $errno = curl_errno($c);
        $msg = curl_error($c);
        curl_close($c);
        return "Error! errno = " . $errno . ", msg = " . $msg;
    } else {
        $r = json_decode($rbody);
        curl_close($c);
        return $r->tls_version;
    }
}

echo "OS: " . PHP_OS . "\n";
echo "uname: " . php_uname() . "\n";
echo "PHP version: " . phpversion() . "\n";
$curl_version = curl_version();
echo "curl version: " . $curl_version["version"] . "\n";
echo "SSL version: " . $curl_version["ssl_version"] . "\n";
echo "SSL version number: " . $curl_version["ssl_version_number"] . "\n";
echo "OPENSSL_VERSION_NUMBER: " . dechex(OPENSSL_VERSION_NUMBER) . "\n";
echo "TLS test (default): " . get_tls_version() . "\n";
echo "TLS test (TLS_v1): " . get_tls_version(1) . "\n";
echo "TLS test (TLS_v1_2): " . get_tls_version(6) . "\n";
?>

2 сервера дают следующие ответы:

сервер 1

OS: Linux
uname: Linux www-leapset-us-west-1b-n1-new 3.2.0-31-virtual #50-Ubuntu SMP Fri Sep 7 16:36:36 UTC 2012 x86_64
PHP version: 5.3.10-1ubuntu3.4
curl version: 7.22.0
SSL version: OpenSSL/1.0.1
SSL version number: 0
OPENSSL_VERSION_NUMBER: 1000100f

TLS test (default): TLS 1.1
TLS test (TLS_v1): TLS 1.0
TLS test (TLS_v1_2): TLS 1.1

сервер 2

OS: Linux
uname: Linux stag-order-ec1.leapset.com 3.2.0-40-virtual #64-Ubuntu SMP Mon Mar 25 21:42:18 UTC 2013 x86_64
PHP version: 5.3.10-1ubuntu3.11
curl version: 7.22.0
SSL version: OpenSSL/1.0.1
SSL version number: 0
OPENSSL_VERSION_NUMBER: 1000100f

TLS test (default): TLS 1.2
TLS test (TLS_v1): TLS 1.0
TLS test (TLS_v1_2): TLS 1.2

Кроме того, я создал экземпляр Docker с Ubuntu 12.04, идентичный серверам, и выполнил указанный файл, используя, php curl_test.phpи он также вел себя так же, каксервер 2

Далее curl --version на 2 серверах дает следующий вывод на 2 серверах, и они имеют одинаковые версии и они совпадают

сервер 1 и сервер 2 оба

curl 7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3
Protocols: dict file ftp ftps gopher http https imap imaps ldap pop3 pop3s rtmp rtsp smtp smtps telnet tftp 
Features: GSS-Negotiate IDN IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP

Также команда: версия openssl на обоих серверах одинакова. сервер 1 и сервер 2 оба

OpenSSL 1.0.1 14 Mar 2012

Политика безопасности, включенная в ELB, такая же, как описано здесь.https://aws.amazon.com/about-aws/whats-new/2017/02/elastic-load-balancing-support-for-tls-1-1-and-tls-1-2-pre-defined-security-policies/это конфигурация по умолчанию ELBSecurityPolicy-2016-08, которая соответствует уже существующим настройкам по умолчанию и поддерживает TLS версии 1.0 и выше.

Более того, я обнаружил, что curl использует базовый openssl для обработки TLS. Поэтому я проверил подключение openssl с использованием TLS v1.2

На сервере 1; при использовании следующей команды для проверки подключения openssl

openssl s_client -connect google.com:443

он подключается с использованием TLS v1.1 Однако, когда я принудительно использую TLS v1.2openssl s_client -connect google.com:443 -tls1_2

он может подключиться к google.com:443 с помощью TLS v1.2 и используетECDHE-RSA-AES256-GCM-SHA384схема шифрования для подключения.

Тогда я попробовал;openssl s_client -cipher 'ECDHE-RSA-AES256-GCM-SHA384' -connect www.google.com:443

и этосбой на сервере 1но работало на сервере 2

Далее; openssl s_client -cipher 'ECDHE-RSA-AES256-GCM-SHA384' -connect www.google.com:443 -tls1_2отлично работает на сервере 1 и подключается с помощьюECDHE-RSA-AES256-GCM-SHA384схема шифрования.

Я не уверен почемусервер 1не может подключиться с использованием TLS v1.2 в запросах curl, и я не могу обновить версию openssl или curl, поскольку сервер 1 является производственным сервером.

Дальше,

Я проверил /etc/ssl/openssl.cnf и /usr/lib/ssl/openssl.cnf на обоих серверах, и они также идентичны.

Любая помощь в отладке или включении/принудительном включении TLS 1.2 на сервере 1 будет очень признательна.

Связанный контент