SSL Labsで自サイトを診断していました。
TLS1.3を有効にしたいなぁ。と思い立ったので記事にしてみます。
目次
前提条件
どうやら、apache2.4.37から正式にTLS1.3がサポートされている模様。
自環境はapache2.4.35と少し古い。が上げるのは面倒なのでこのままトライする。
OpenSSLは1.0.2と古いため、これは1.1.1以上を採用します。
OpenSSLのソースインストール
まずはOS側とは別にOpenSSLの最新版をソースからインストールします。
# cd /usr/local/src/ # wget https://www.openssl.org/source/openssl-1.1.1.tar.gz # tar xvfz openssl-1.1.1.tar.gz # cd openssl-1.1.1 # ./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared # make # make install # ln -s /usr/local/ssl/lib/libcrypto.so.1.1 /lib64/libcrypto.so.1.1 # ln -s /usr/local/ssl/lib/libssl.so.1.1 /lib64/libssl.so.1.1 # /usr/local/ssl/bin/openssl version OpenSSL 1.1.1 11 Sep 2018 # ldd /usr/local/ssl/bin/openssl linux-vdso.so.1 => (0x00007fff4dada000) libssl.so.1.1 => /lib64/libssl.so.1.1 (0x00007fda5b2d2000) libcrypto.so.1.1 => /lib64/libcrypto.so.1.1 (0x00007fda5aded000) libdl.so.2 => /lib64/libdl.so.2 (0x00007fda5abe9000) libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fda5a9cd000) libc.so.6 => /lib64/libc.so.6 (0x00007fda5a600000) /lib64/ld-linux-x86-64.so.2 (0x00007fda5b563000)
mod_sslの用意
サイトを参考に色々やったのですが、どうにもうまく行かなかったです。
とりあえず力技でtls 1.3 を使えるようにしました。apache 2.4.37からmod_sslを拝借して使わせてもらいます。
# cd /usr/local/src # wget http://ftp.tsukuba.wide.ad.jp/software/apache//httpd/httpd-2.4.37.tar.gz # tar xvfz httpd-2.4.37.tar.gz # ./configure --prefix=/usr/local/apache-2.4.37 --enable-so --enable-shared --enable-ssl --enable-rewrite --enable-expires --enable-deflate --enable-headers --with-included-apr --enable-substitute --with-ssl=/usr/local/ssl # make # make install # cd /usr/local/apache2.4.35/modules # mv mod.ssl{,.bak} # cp -p /usr/local/apache2.4.37/modules/mod_ssl . # /usr/local/apache2.4.35/bin/apachectl restart
再度SSL Labsで確認します。
とりあえず有効になりました。
まぁ、私の個人サイトなのでこんな胡散臭いのでも良いですが、まともな環境なら迷わずapacheのバージョンを上げますね。お遊び程度でお願いします。