config
Cipher Order
Der Mozilla SSL Configuration Generator deaktiviert bewusst das Flag SSLHonorCipherOrder für die moderne Konfiguration.
SSLHonorCipherOrder off
Das war früher anders, und ich war nicht der erste der auf die Idee gekommen ist, dass es sich um einen Bug handelt. Es gibt bereits einen Eintrag im Bugtracker.
Die Idee dahinter ist, dass sowieso nur mehr starke Cipher Suits verwendet werden. In dem Fall soll sich der Client aussuchen, was er am besten, schnellsten oder ressourcensparendsten verwenden kann. Falls aber aus irgendwelchen Gründen noch Legacy Ciphers verwendet werden (müssen), würde ich die Cipher Order trotzdem vorgeben.
Mozilla SSL Config Tool
Man lernt nur durch Wiederholung:
moz://a SSL Configuration Generator
Schaut euch das an, wie man TLS ordentlich konfiguriert.
OpenSSL STR_COPY variable has no value
Openssl kann Shellvariablen im der Konfigurationsdatei verarbeiten. Kommt dabei eine Fehlermeldung wie
openssl.exe version 6870300:error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:618:line 19
liegt das daran, dass die Shellvariable nicht definiert ist.
Eine leere Variable dagegen ist aber OK.
Ich dachte schon einen Bug gefunden zu haben. Der Report dafür wurde aber nicht anerkannt, weil das Verhalten so gewünscht und dokumentiert ist.
Wie kommt man zum Fehler? Mit einer Config wie:
[req] promt=no distinguished_name=dn default_md=sha256 default_bits=2048 req_extensions=alt_names [dn] C=AT ST=NOe L=xxx O="org" OU="ou" E="test@example.com" [alt_names] subjectAltName=${ENV::SAN}
Wie repariert man es?
Indem man einen Default Wert in der Config setzt:
SAN="" [req] promt=no distinguished_name=dn default_md=sha256 default_bits=2048 req_extensions=alt_names [dn] C=AT ST=NOe L=xxx O="org" OU="ou" E="test@example.com" [alt_names] subjectAltName=${ENV::SAN}
Dokumentation, wenn auch leicht verwirrend findet man unter https://www.openssl.org/docs/man1.0.2/apps/config.html bzw. https://www.openssl.org/docs/manmaster/apps/config.html für die letzte Version.
Suchen auf der Seite nach Begrif „ENV“.
Kernel Kompilieren unter SuSE Linux mit Hindernissen
# make oldconfig HOSTCC scripts/basic/fixdep In file included from /usr/include/sys/socket.h:35, from /usr/include/netinet/in.h:24, from /usr/include/arpa/inet.h:23, from scripts/basic/fixdep.c:117: /usr/include/bits/socket.h:311:24: error: asm/socket.h: No such file or directory make[1]: *** [scripts/basic/fixdep] Error 1 make: *** [scripts_basic] Error 2
Die Lösung dafür hat eine neu Installation des Paketes linux-kernel-headers-2.6.22-19 gebracht!