config

Cipher Order

Written by georg on Januar 4, 2020

Der Mozilla SSL Configuration Generator deaktiviert bewusst das Flag SSLHonorCipherOrder für die moderne Konfiguration.

SSLHonorCipherOrder     off

Das war früher anders, und ich war nicht der erste der auf die Idee gekommen ist, dass es sich um einen Bug handelt. Es gibt bereits einen Eintrag im Bugtracker.
Die Idee dahinter ist, dass sowieso nur mehr starke Cipher Suits verwendet werden. In dem Fall soll sich der Client aussuchen, was er am besten, schnellsten oder ressourcensparendsten verwenden kann. Falls aber aus irgendwelchen Gründen noch Legacy Ciphers verwendet werden (müssen), würde ich die Cipher Order trotzdem vorgeben.

Mozilla SSL Config Tool

Written by georg on November 1, 2019

Man lernt nur durch Wiederholung:
moz://a SSL Configuration Generator
Schaut euch das an, wie man TLS ordentlich konfiguriert.

OpenSSL STR_COPY variable has no value

Written by georg on September 23, 2016

Openssl kann Shellvariablen im der Konfigurationsdatei verarbeiten. Kommt dabei eine Fehlermeldung wie

openssl.exe version
6870300:error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:618:line 19

liegt das daran, dass die Shellvariable nicht definiert ist.
Eine leere Variable dagegen ist aber OK.
Ich dachte schon einen Bug gefunden zu haben. Der Report dafür wurde aber nicht anerkannt, weil das Verhalten so gewünscht und dokumentiert ist.

Wie kommt man zum Fehler? Mit einer Config wie:

[req]
promt=no
distinguished_name=dn
default_md=sha256
default_bits=2048
req_extensions=alt_names

[dn]
C=AT
ST=NOe
L=xxx
O="org"
OU="ou"
E="test@example.com"

[alt_names]
subjectAltName=${ENV::SAN}

Wie repariert man es?
Indem man einen Default Wert in der Config setzt:

SAN=""
[req]
promt=no
distinguished_name=dn
default_md=sha256
default_bits=2048
req_extensions=alt_names

[dn]
C=AT
ST=NOe
L=xxx
O="org"
OU="ou"
E="test@example.com"

[alt_names]
subjectAltName=${ENV::SAN}

Dokumentation, wenn auch leicht verwirrend findet man unter https://www.openssl.org/docs/man1.0.2/apps/config.html bzw. https://www.openssl.org/docs/manmaster/apps/config.html für die letzte Version.
Suchen auf der Seite nach Begrif „ENV“.

Kernel Kompilieren unter SuSE Linux mit Hindernissen

Written by georg on November 1, 2008

# make oldconfig
  HOSTCC  scripts/basic/fixdep
In file included from /usr/include/sys/socket.h:35,
                 from /usr/include/netinet/in.h:24,
                 from /usr/include/arpa/inet.h:23,
                 from scripts/basic/fixdep.c:117:
/usr/include/bits/socket.h:311:24: error: asm/socket.h: No such file or directory
make[1]: *** [scripts/basic/fixdep] Error 1
make: *** [scripts_basic] Error 2

Die Lösung dafür hat eine neu Installation des Paketes linux-kernel-headers-2.6.22-19 gebracht!

Bücher zum Thema Linux Kernel Entwicklung