よくわからないエンジニア

よく分からないエンジニア(無音鈴鹿)の日々の記録

よくわからないエンジニア

apacheのTLS 1.3対応(apache 2.4.36以前)

SSL Labsで自サイトを診断していました。
f:id:unknownengineer:20181115120005p:plain
TLS1.3を有効にしたいなぁ。と思い立ったので記事にしてみます。

目次

前提条件

どうやら、apache2.4.37から正式にTLS1.3がサポートされている模様。

mag.osdn.jp

自環境はapache2.4.35と少し古い。が上げるのは面倒なのでこのままトライする。
OpenSSLは1.0.2と古いため、これは1.1.1以上を採用します。

OpenSSLのソースインストール

まずはOS側とは別にOpenSSLの最新版をソースからインストールします。

# cd /usr/local/src/
# wget https://www.openssl.org/source/openssl-1.1.1.tar.gz
# tar xvfz openssl-1.1.1.tar.gz
# cd openssl-1.1.1
# ./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared
# make
# make install
# ln -s /usr/local/ssl/lib/libcrypto.so.1.1 /lib64/libcrypto.so.1.1
# ln -s /usr/local/ssl/lib/libssl.so.1.1 /lib64/libssl.so.1.1
# /usr/local/ssl/bin/openssl version
OpenSSL 1.1.1  11 Sep 2018
# ldd /usr/local/ssl/bin/openssl
        linux-vdso.so.1 =>  (0x00007fff4dada000)
        libssl.so.1.1 => /lib64/libssl.so.1.1 (0x00007fda5b2d2000)
        libcrypto.so.1.1 => /lib64/libcrypto.so.1.1 (0x00007fda5aded000)
        libdl.so.2 => /lib64/libdl.so.2 (0x00007fda5abe9000)
        libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fda5a9cd000)
        libc.so.6 => /lib64/libc.so.6 (0x00007fda5a600000)
        /lib64/ld-linux-x86-64.so.2 (0x00007fda5b563000)

mod_sslの用意

サイトを参考に色々やったのですが、どうにもうまく行かなかったです。
とりあえず力技でtls 1.3 を使えるようにしました。apache 2.4.37からmod_sslを拝借して使わせてもらいます。

# cd /usr/local/src
# wget http://ftp.tsukuba.wide.ad.jp/software/apache//httpd/httpd-2.4.37.tar.gz
# tar xvfz httpd-2.4.37.tar.gz
# ./configure --prefix=/usr/local/apache-2.4.37 --enable-so --enable-shared --enable-ssl --enable-rewrite --enable-expires --enable-deflate --enable-headers --with-included-apr --enable-substitute --with-ssl=/usr/local/ssl
# make
# make install
# cd /usr/local/apache2.4.35/modules
# mv mod.ssl{,.bak}
# cp -p /usr/local/apache2.4.37/modules/mod_ssl .
# /usr/local/apache2.4.35/bin/apachectl restart

再度SSL Labsで確認します。

f:id:unknownengineer:20181115144907p:plain

とりあえず有効になりました。
まぁ、私の個人サイトなのでこんな胡散臭いのでも良いですが、まともな環境なら迷わずapacheのバージョンを上げますね。お遊び程度でお願いします。