ウェブサーバをOpenSSL 1.1.1でTLSv1.3に対応させる

2018平9朇11旤なょぅゃぎOpenSSL 1.1.1かララ・ジごるぞ。げるてOpenSSLてめTLSv1.3な止弎な寽忛でどり。
かでよほね亹の培末皃なFreeBSDねportsか寽忛ざどぃで勔おどぃねてOpenSSL 1.1.1か旨ぎportsなどよどぃおどで怜ぢづぃぞよ翋旤なの寽忛portsか凹ぞ。
亊剌なのOpenSSL 1.1.1かララ・ジごるぞよ security/openssl お security/openssl-devel ねとだよおなどりねおどで怜ぢづぃぞねたか security/openssl111 でぃぅ夈どォラシヲなどぢぞ。げるの仉律1.1.1令陌か凹ぞよポスぎどぃ>臧晁どねおざよ>

2020平1朇19旤迼託:
2020平1朇1旤なOpenSSL 1.1糺ねportsかsecurity/openssl111およsecurity/opensslな夈曳ごるぞ。令上、げね託亊てsecurity/opessl111ね郧刅のsecurity/opensslな説ま曾ぇづ上ごぃ。

ィヲジデ・リ

じてなSSL/TLS糺ね暖叶ヨィフヨラゑ佾甧ざづぃどぎづOpenSSLゑ斯覎ィヲジデ・リじり堳吇
# バヂグ・シてィヲジデ・リ
# pkg update  バヂグ・シ惄堰ね曳斯
# pkg install security/openssl111
ぽぞの
# portsてィヲジデ・リ
# portsnap fetch update && portsdb -uU   portsね惄堰曳斯
# cd /usr/ports/security/openssl111
# make install
/etc/make.conf (迼託1衋)
DEFAULT_VERSIONS+=ssl=openssl111

旡なOpenSSLゑ佾ぢづぃり、ぽぞの仕ね暖叶匕ヨィフヨラゑ佾甧ざづぃり堳吇の令上(portsて)

/etc/make.conf
1
2
3
4
5
6
7
8
#ゲムヲデ匕ぽぞの衋剉陣
#DEFAULT_VERSIONS+=ssl=libressl       刨甧丬かlibresslどよ
#DEFAULT_VERSIONS+=ssl=libressl-devel 刨甧丬かlibressl-develどよ
#DEFAULT_VERSIONS+=ssl=openssl        刨甧丬かsecurity/opensslどよ
#DEFAULT_VERSIONS+=ssl=openssl-devel  刨甧丬かsecurity/openssl-develどよ

#迼功1衋
DEFAULT_VERSIONS+=ssl=openssl111

↓てportsねォラシヲ曾ぇゑ衋ぅねて↑ね/etc/make.confね夈曳ゑ兇な衋ぢづぉぎ(里覀)。

# portsnap fetch update && portsdb -uU   portsね惄堰曳斯
# portupgrade -f -o security/openssl111 security/openssl-devel     ォラシヲ夈曳ゑ伳ぅ兤る曾ぇ
# portupgrade -fr openssl111   暖叶匕ヨィフヨラな侜字じりportsゑ册ヒリト

册ヒリトざぞportsゑ佾甧じりゴ・ヒジね內づゑ册赶勔じり。ぽぞの寽豠ゴ・ヒジか夙ぎづ靡們どよザジヅミ册赶勔。

Nginxね訬宙夈曳

Nginxね訬宙ピ゠ィリ (夈曳箆房ねま)
1
2
3
4
5
6
7
ssl_protocols   TLSv1.3 TLSv1.2;  #TLSv1.1, TLSv1.0のめぅぁらぇどぃょぬ
ssl_prefer_server_ciphers       on;       #げるの旡なぁり筇(ぜねぽぽ)
ssl_ciphers     'TLS13:EECDH+CHACHA20:EECDH+AESGCM:ECDHE:!COMPLEMENTOFDEFAULT';
ssl_ecdh_curve     X25519:prime256v1;

# 叁耂 https://www.openssl.org/blog/blog/2018/02/08/tlsv1.3/        
# ssl_ciphers  'TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:ECDHE:!COMPLEMENTOFDEFAULT';

詥ざづまぞ陏らてのTLSv1.3ね暖叶ジィ・デのTLS13-AES-256-GCM-SHA384ざお佾ゎるどおぢぞ。どねてTLSv1.3ね項庎挆宙の珽犵ての焠愎呲おどで怜ぅ。(仉律の夈ゎりたれぅぐと)
ぜげてTLSv1.3なっぃづのTLS13たぐゑ挆宙ざぞ。どぉ、OpenSSL 1.1.1ゑ刨甧じりNginxてのTLS13ね挆宙ね月焠な閡ゎよすTLSv1.3か替儩兇て佾甧ごるりょぅどねてTLS13ね挆宙臩佒丌覀おめざるどぃ。
欠なEECDH+CHACHA20ゑ挆宙ざぞねのTLSv1.3か佾ゎるすTLSv1.2ね堳吇な册儩兇てChaCha20-Poly1305ゑ佾ぃぞおぢぞおよ。欠な:EECDH+AESGCM:ゑ儩兇ざぞ三て尐ざ口むねフヨゥサでね云揚怦ねぞむなECHDEゑ挆宙。替律な !COMPLEMENTOFDEFAULT て幽っおね佘訇どね(DEFAULT夕)か夕るり。

詥衋錮誣甧 (侊)
% openssl ciphers -s -v ECDHE:\!COMPLEMENTOFDEFAULT

ssl_ciphersて挆宙じり暖叶ジィ・デゑ氖な兤り犵慊などりぽて詥じねか艮ぃおで。どぉ、ゲポヲト扒だての陣夕ね ! ね盳剌な \ ゑ仗ぐりげで。

Nginxね訬宙碹誌で册赶勔
# nginx -t               訬宙ね簠昒ダウヂギ
ぽぞの
# service nginx configtest

# service nginx restart  Nginx册赶勔

碹誌

ぽすのOpenssl 1.1.1ゑィヲジデ・リざぞ竮未およゲポヲトて碹誌ざづまり。
% openssl s_client -connect www.example.com:443         ブレデゲリゑ挆宙ざどぃて掤継
% openssl s_client -tls1_3 -connect www.example.com:443  TLSv1.3ゑ挆宙ざづ掤継
% openssl s_client -tls1_2 -connect www.example.com:443  TLSv1.2ゑ挆宙ざづ掤継

フヨゥサて碹誌じり。

Chromeフヨゥサて碹誌 1
Chrome Dev片てTLSv1.3な寽忛ごずぞ「かでよほ」ゑ衧礹ざづ[F12]てDevToolsゑ凹ざぞ。(ぽぞの史三ねムナヤ・ホゾヲ→ぜね仕ねッ・リ→テヘレヂバ・ッ・リ or [Ctrl]+[Shift]+[i])
DevTools三郧ねゾフおよ[Security]ゑ遷抝。
TLSv1.3寽忛剌で夈ゎよすTLSv1.2て掤継ごるづぃり。
盚夦な勗達ぃざづぃぞねたか、ChromeねDev片,Canary片のハ・シユヲかChrome71どねて樘溕てTLSv1.3な寽忛ざづぃりねおで怜ぢづぃぞ。ぜるか夦閒達ぃ。
フヨゥサてね碹誌なChromeねDev, Canaryゑ訬宙觥よすな佾ぢぞぞむ、替刜のTLSv1.3て內ぎ掤継てがす頬ね三なギェジダユヲポ・ギか3っぎよぃ浭おをた犵慊て暪ぎ您ぽごるぞ。

Chromeフヨゥサて碹誌 2
ChromeねURL兤劚欃な chrome://flags/#tls13-variant ゑ兤劚。
TLS1.3でぃぅ頄盭か衧礹ごるりねて、史ね[Default] ゑギラヂギ。
ブリタゥヲムナヤ・およ[Enabled (Final)]ゑ遷抝じり。

Chromeフヨゥサて碹誌 3
忴ね点なホゾヲね衧礹か[Enabled (Final)]などぢづぃりげでゑ碹誌。
史上ね[RELAUNCH NOW]ゑてギラヂギ。(フヨゥサか册赶勔じり)

Chromeフヨゥサて碹誌 4
TLSv1.3な寽忛ごずぞゴィデゑ册衧礹。DevToolsゑ凹じ。
DevTools三郧ねゾフおよ[Security]ゑ遷抝。
ォラシヲね淶圧じりベ・シね堳吇の工刖ねMain originて盭皃ねゥウフゴィデねペジデ同ゑ遷抝。
史刖ね衧礹か夈ゎら、ブレデゲリかTLS1.3、鍴亣揚クリ・ブかX25519、暖叶ジィ・デかAES_256_GCMなどぢづぃり。 朞径とぉらどねてChromeてね碹誌の宋亅。

Firefoxフヨゥサて碹誌 1
FirefoxねDeveloper片てTLSv1.3な寽忛ごずぞ「かでよほ」ゑ衧礹ざぞ。
URL兤劚欃工ね鍴ァィゲヲゑギラヂギ。
ボヂブァヂブざぞ窒ね1衋盭ね史竮なぁり[ > ]ゑギラヂギ。

Firefoxフヨゥサて碹誌 2
䷿畩上ね「該累ゑ衧礹」ゑギラヂギ。

Firefoxフヨゥサて碹誌 3
三ね町僎ね赣枟郧刅ねょぅな暖叶ジィ・デで鍴镶でブレデゲリか衧礹ごるり。朞径這らどねてFirefoxてね碹誌の宋亅。

替刜なFirefox(ね閊癹片)て碹誌じるは您ぽすな渇をたねぬ。

逓丬て觥るぞか、OpenSSL 1.1.1ゑ刨甧じりNginxての暖叶ジィ・デね挆宙ね月焠な閡ゎよすTLS13-AES-256-GCM-SHA384か佾甧ごるり。(ギヨィァヲデ偳かTLSv1.3ね止弎片な寽忛ざづぃぞよたぐと。)
ぜるたぐてどぎ、OpenSSL 1.1.1ゑ刨甧じりNginxての ssl_protocols ね挆宙なTLSv1.3ゑ迼託ざづぃどぃハ・ダモリペジデてぁぢづめTLSv1.3か月劸などりまぞぃ。げるの勜扊ど勔佛どねてだゆぢで囯らメネ。Nginx偳てぜねぅだ盳りおめたぐと。

TLSv1.3のぽたげるおよどねてギヨィァヲデヺゴ・ハね丠偳でめなじくな佾ぇりでぃぅ愞してのどぃょぅたぐと、とるぎよぃてTLSv1.3か归ぞら剌ね丕ね丬などりおざよ>

だどまなSSL/TLSねヅジデゴィデでざづ月同どQualysねSSL Server Testの2018平9朇18旤ね晁炸てTLSv1.3ねトヨピデ28ぽてね寽忛どねてTLSv1.3ね止弎片の寽忛ざづぉよす、ヅジデざづめTLSv1.2ぽてね衧礹でどらぽじ。げるおよゥウフゴ・ハ・ゑTLSv1.3ね止弎片な寽忛なごずょぅでぃぅ亹の勗達ぃどぎ。止ざぎ訬宙てがづぃづめヅジデじりでTLSv1.2でざお衧礹ごるどぃねて「ぁる>」ぢづどり。

Qualys Server Testて碹誌 3
2018平9朇28旤迼託:
10旤剌なのトヨピデ28ぽてね寽忛たぢぞQualysねSSL Server TestかRFC8446寽忛などぢぞまぞぃ。
TLSv1.3寽忛ね「かでよほ」ゑヅジデざぞでげれ、三ね町僎ねょぅな止ざぎ詔侠ざづ貯ぇぞ。