TLS 1.0/1.1 nicht für bestimmte IP Gruppe deaktivieren

  • Hallo,


    auf einem Debian Jessie System haben wir das Problem, dass wir mehrere IP Gruppen haben. Auf jeder IP Gruppe (default => shared und einige exklusive Gruppen soll TLS 1.0/1.1 abgestellt werden. Auf einer exklusiven IP Gruppe jedoch nicht.
    Das funktioniert leider nicht, es ist immer für alle deaktiviert. Von der Konfiguration her würde ich auch sagen, dass es eine Serverweite Option ist und keine pro IP Gruppe, oder liegt hier nur ein Fehler vor?

  • Debian Jessie ist End of Life seit 2018, die LTS wird ihr EoL auch in 3 Monaten erreichen.


    Das stimmt so nicht ganz. Extended Long Term Support gibt es inzwischen auch und geht bis 2022.
    Siehe https://wiki.debian.org/LTS/Extended


    Wäre ein Upgrade nicht sinnvoll?


    Nur wenn ein Upgrade auch Vorteile bringt oder auf einen Extended Long Term Support verzichtet würde.


    In wie fern soll dieser Beitrag dabei helfen, ein Problem in LiveConfig zu lösen?


    Er meint vermutlich wenn ältere Software den Funktionswunsch eventuell noch nicht unterstützte.
    Hilfreich wäre erstmal anzugeben mit welcher Serversoftware das Problem besteht (z.B. apache, nginx, proftpd) neben Debian Jessie.


    Auf Liveconfig 2.10.4 bezogen gehe ich von einem Webserver vorerst aus. Die Einstellung über Liveconfig für einen Webserver auch bei unterschiedlichen IP-Adressen scheint dazu nutzlos zu sein. Ich würde auch davon ausgehen das TLS eine globale Einstellung pro Webserver ist und lediglich die SSL-Server-Chiffren definierbar sein dürften.


    Tipp wäre zwei Webserver(z.B. apache2, nginx) zu nutzen und in einem TLS v1.1/1.2 zu aktivieren sowie im anderen zu deaktivieren. Geht nur ab 2 IP-Adressen im System

  • Leute, wir sind hier i.d.R. auf Shared Webhosting Systemen unterwegs. Das sind die Server, bei denen man für ein zeitgemäßes WordPress auch ein zeitgemäßes PHP braucht. Was nutzt da z.B. ein CentOS 6 (das "erst" seit knapp 4 Wochen EOL ist), wenn das standardmäßig PHP 5.3 mitbringt?


    (E)LTS ist was für abgeschottete Spezialserver, aber nicht für prinzipiell "offene" Multi-User-Systeme.


    Und um mal einen kleinen Rant aus Entwicklersicht los zu werden: so uralte und ewig lang künstlich am Leben erhaltene Distributionsversionen sind eine einzige Katastrophe. Um die Software anständig zu testen betreiben wir z.B. für jede Distri eine eigene VM, die jeweils aktualisiert und gepflegt werden muss (aktuell sind das übrigens über 15 Server nur für Tests). Will man nun moderne Sicherheitsfunktionen (ASLR etc.) nutzen oder einfach "nur" modernere Sprachen (C++ 11/15/17/20) muss man schauen inwiefern auf der jeweiligen Plattform überhaupt passende Compiler verfügbar sind. Spoiler: C++11 auf CentOS 6 kann man knicken.
    Um also nicht sicherheitsmäßig auf dem kleinsten gemeinsamen Nenner arbeiten zu müssen (also auf dem technischen Stand von vor knapp 10 Jahren), muss man einen gewaltigen Aufwand in die Build-/Test-Chain und die Pflege von Servern mit uralten Distributionen stecken. Für uns bedeutet das also z.B. dass wir uns moderne Compiler selber auf Altsystemen einrichten (selber bauen) müssen. Spätestens uralte glibc-Versionen stellen dann aber eine nicht mehr überschreitbare Grenze dar.
    Ich persönlich bin daher froh um jede Distribution, die ihr EOL erreicht hat. ;) Bei Debian finde ich das Release-Intervall persönlich sehr angenehm, und die Upgrades sind meist völlig reibungslos.

  • Ich bedauere das der Aufwand so hoch ist. Ändert sich bei CentOS in Zukunft vermutlich. Bin inzwischen froh nie CentOS 8 eingesetzt zu haben bei dem aktuellen Zirkus um CentOS 8+, zögerlichen Updates und EOL. Debian Linux 10.7+ ist in diesem Fall auch keine gute Wahl bzgl. älteren TLS Versionen ohne weitere Repos.


    Beispiel MariaDB 10.3+ hat YaSSL derzeit unter Debian Linux 10.7 und das ist der letzte Müll keine cipher, keine Einschränkung auf TLSv1.2+ möglich und so weiter. In MariaDB 10.4+ wurde das Problem bereits behoben.
    Große Firmen wie Google erlauben weiterhin TLS v1.0 und 1.1 bisher.


    Was nutzt da z.B. ein CentOS 6 (das "erst" seit knapp 4 Wochen EOL ist), wenn das standardmäßig PHP 5.3 mitbringt?


    Mir ging es auch weniger um EOL bzw. (E)LTS sondern um die TLS 1.0/1.1 Option in Liveconfig.
    Scheinbar geht es erst ab Version 2.4.42 beim Apache2. Bei Nginx vermutlich ab Version 1.15.2


    Getestet unter Debian Linux 10.7 mit Liveconfig 2.10.4, Apache2 2.4.38-3+deb10u4/nginx 1.14.2-2+deb10u3, 4 Domains mit 4 IP-Adressen. Also die Versionen sind im regulären Debian Linux 10.7 einfach schon zu alt.


    Laut Changelog kam es in Liveconfig 2.9.2 (03.03.2020) dazu. (=> "TLSv1/TLSv1.1 kann nun beim Webserver pro IP-Gruppe deaktiviert werden").
    Interessant wäre mit welcher Distro üblicherweise Liveconfig bei solchen neuen Funktionen getestet wird?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!