Come creare il ricciolo per il supporto TLSv1.2?

2

Sto cercando di creare un ricciolo sulla mia scatola RHEL 6.x poiché la versione esistente non supporta TLSv1.2. Tuttavia, indipendentemente dall'opzione selezionata, finisce sempre con il seguente errore:

configurazione: ATTENZIONE: SSL disabilitato, non sarà possibile utilizzare HTTPS, FTPS, NTLM e altro.
configurare: ATTENZIONE: utilizzare --with-ssl, --with-gnutls, --with-polarssl, --with-cyassl, --with-nss, --with-axtls ....

Le opzioni che ho tentato sono 

./configure --with-ssl
./configure --with-ssl = / usr / bin / openssl
./configure --with-nss
./configure --with-gnutls

Ho anche provato a scaricare e compilare nss e openssl, ma neanche questo mi ha aiutato.

redhat  rhel6  curl 
souser
fonte
Quale versione principale di RHEL e quali -develpacchetti equivalenti sono installati per openssl, nss e / o gnutls?
HBruijn,
1
È confuso. Sei sicuro che il tuo sistema sia aggiornato? Sul mio sistema Scientific Linux 6.7, curl 7.19.7, fornito da RHEL, supporta il --tlsv1.2flag. Cosa curl --help | grep tlsti mostra? curl --versiondice che include queste librerie: curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2.
Stefan Lasiewski,
Supporta solo tlsv1 curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl / 7.19.7 NSS / 3.14.3.0 zlib / 1.2.3 libidn / 1.18 libssh2 / 1.4.2 Protocolli: tftp ftp telnet dict ldap ldaps file http https ftps scp sftp Caratteristiche: GSS-Negoziare IDN IPv6 Largefile NTLM SSL libz
souser
1
Se vuoi davvero costruire il ricciolo localmente, potresti aver bisogno di installare prima NSS localmente perché il sistema NSS stesso potrebbe non supportare tls1.2. Quindi utilizzare --without-ssl --with-nss=~youruser/lib/nssper curl.haxx.se/docs/install.html . Ma attenzione, compilare il tuo software in questo modo può portarti giù da un rathole. La soluzione migliore e più sostenibile è per il tuo team Unix di aggiornare semplicemente ricciolo e NSS tramite yum update. A me, sembra che il tuo curle nsspacchetti non sono aggiornati, che è il motivo per cui si riscontrano problemi, in primo luogo.
Stefan Lasiewski,
1
@Stefan, sono d'accordo che non è la cosa più semplice da fare. Faccio fatica da un po 'di tempo. Ho già provato il tuo suggerimento, ma riproverò più tardi oggi. Grazie per l'aiuto.
souser

Risposte:

5

Non è necessario creare la propria versione di arricciatura, il supporto per TLS 1.1 e 1.2 (con i --tlsv1.1rispettivi --tlsv1.2interruttori a riga di comando) è stato backportato ed è diventato disponibile nel 2014 dalla curlversione 7.19.7-43del pacchetto RHEL 6 rpm.

Si prega di leggere queste domande e risposte in che modo i numeri di versione del software rimangono gli stessi nelle principali versioni di Red Hat, nonostante le correzioni dei bug che vengono applicate, o talvolta come nel caso del ricciolo, nonostante le nuove funzionalità vengano aggiunte (e perché dovresti patchare RHEL (e derivati ​​come CentOS).)

Ogni pacchetto ufficiale di RHEL 6 per curl dirà curl --version = 7.19.7, riguarda il rilascio, come mostrato in yum info curl e rpm -q --changelog curl; qualsiasi cosa oltre 43.el6dovrebbe supportare TLS 1.2.

Nonostante il fatto che la pagina man curl dica che l' --tlsv1.2opzione è stata introdotta solo nel curl 7.34, nel curl Red Hat 7.19 sono disponibili sia TLS v1.1 che v1.2.

HBruijn
fonte
2
Il RHEL 6.x che ho viene fornito con arricciatura 7.19.7. Tuttavia, quella versione di arricciatura supporta solo TLSv1. Se provo a connettermi a un server con TLSv1.2, fallisce. Sfortunatamente, il team di Unix non è disposto a patchare i sistemi. Sto cercando di risolvere questo problema costruendo ricciolo e quindi questo post.
souser
curl --help mostra solo tlsv1. Quando provo ad accedere a un sito su TLSv1.2 ricevo l'errore "Errore di connessione SSL". Quando tento di utilizzare l'opzione "--tlsv1.2" Errore di ricezione "--tlsv1.2: is unknown". C'è qualcos'altro che dovrei provare?
souser
yum info curl shows Rilascio: 37.el6_4
souser
1
Pertanto, il reparto IT non ha patchato i propri server Linux da febbraio 2013 quando RHEL 6.4 è stato raggruppato. Anche se il reparto IT ha pagato per un supporto esteso , anche questo si è esaurito. Come Stefan ha già commentato le probabilità, è necessario creare un ambiente di compilazione personalizzato quasi completo per creare correttamente l'arricciatura dalla fonte. L'unico
lato positivo
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.