Aufgrund einer relativ alten OpenSSL Version ist es unter CentOS/RHEL 6.4 im Moment leider nicht möglich den Apache Webserver mit TLS 1.1 und TLS 1.2 zu betreiben. Diese Funktionalität lässt sich jedoch mit Hilfe des IUS Community Repository nachrüsten. Dieses Repository wird durch Rackspace zur Verfügung gestellt.
Um die bereitgestellte OpenSSL Version zu installieren, muss zunächst das EPEL und das IUS Repository eingebunden werden.
$ rpm -i https://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
$ rpm -i http://dl.iuscommunity.org/pub/ius/stable/CentOS/6/x86_64/ius-release-1.0-11.ius.centos6.noarch.rpm
Da sehr viele Pakete von der OpenSSL Bibliothek abhängen, kann sie nicht ohne Umwege deinstalliert und ein neue Version installiert werden. Das replace Plugin für yum hilft jedoch beim Austausch des entsprechenden Paketes. Es kann wie folgt installiert werden.
$ yum install yum-plugin-replace
Anschließend kann das installierte openssl Paket durch das neue openssl10 Paket mit folgendem Befehl ersetzt werden.
$ yum replace openssl --replace-with=openssl10
Zum jetzigen Zeitpunkt ist bei der Bibliothek aus dem Paket(Version: 1.0.1e-2.ius) noch TLS Compression aktiv, was unter bestimmten Umständen auch für Angriffe ausgenutzt werden kann. Aus diesem Grund muss die Datei /etc/sysconfig/httpd um folgende Zeile ergänzt werden. Das export muss unbedingt vorhanden sein, da es sonst nicht funktioniert.
export OPENSSL_NO_DEFAULT_ZLIB=yes
Bei Problemen können die original Pakete wie folgt wieder hergestellt werden.
$ yum replace openssl10 --replace-with=openssl
Links
- Webseite: IUS Community Repository (englisch)
- Webseite: EPEL Repository (englisch)
- Webseite: CentOS (englisch)
- Webseite: RHEL 6.5 Release Notes (englisch)