Come aggiornare OpenSSL da 1.1.0 a 1.1.1 in Ubuntu 18.04?

17

Ho eseguito un server di produzione con Ubuntu 18 installato. Di recente, ho scoperto che la mia applicazione Web non era consentita su alcuni firewall installati nella posizione del cliente.

Ho scoperto che il mio server sta comunicando ai TLSv1.0, TLSv1.1, TLSv1.2protocolli, presumo che l'impostazione del firewall consenta la comunicazione con il server TLSv1.3solo sul protocollo.

Dato che Ubuntu 18 viene fornito con OpenSSL version 1.1.0, e per supportare il server TLS v1.3devo aggiornare OpenSSL al version 1.1.1quale è l'ultimo.

Poiché si tratta di un server di produzione che esegue nginxserver, non voglio provare direttamente nulla sul server.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Qual è il modo migliore per aggiornare OpenSSL alla v1.1.1 senza disturbare altre impostazioni del server?

18.04  upgrade  openssl 
dollaro
fonte
2
Cordiali saluti: »OpenSSL 1.1.1 SRU in Bionic« lists.ubuntu.com/archives/ubuntu-devel/2018-December/… Nel frattempo parla con il rispettivo contatto responsabile della configurazione del firewall, chiedi requisiti / raccomandazioni rinunce /. Dubito che tu sia l'unico con il 18.04 e stai avendo questo problema, né penso che non supportare TLS 1.3 in questo momento sia il problema in quanto è ancora abbastanza nuovo e contrariamente alla tua affermazione ho letto che causa ancora problemi con alcuni scatole intermedie, ma non lo scoprirai se non lo chiedi.
LiveWireBT
2
L'aggiornamento non sarà possibile fino a quando la SRU non sarà passata. Ci sono troppe cose che dipendono da OpenSSL per eseguire l'aggiornamento da soli, perché potrebbero rompere tutto.
Thomas Ward
1
Tino,

Risposte:

34

NOTA : a partire da ~ agosto 2019, openSSL 1.1.1 dovrebbe essere disponibile per l'installazione tramite aggiornamenti / installazioni di pacchetti normali per 18.04. In alternativa, puoi scaricare il pacchetto .deb direttamente da qui .

Secondo il sito Web OpenSSL :

L'ultima versione stabile è la serie 1.1.1. Questa è anche la nostra versione di supporto a lungo termine (LTS), supportata fino all'11 settembre 2023.

Poiché questo non è negli attuali repository Ubuntu, dovrai scaricare, compilare e installare manualmente l'ultima versione di OpenSSL.

Di seguito sono riportate le istruzioni da seguire:

  1. Apri un terminale ( Ctrl+ Alt+ t).
  2. Prendi il tarball: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Disimballare il tarball con tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Emettere il comando ./config.
  5. Emettere il comando make(potrebbe essere necessario eseguire sudo apt install make gccprima di eseguire correttamente questo comando).
  6. Esegui make testper verificare possibili errori.
  7. Il backup corrente apre binario: sudo mv /usr/bin/openssl ~/tmp
  8. Emettere il comando sudo make install.
  9. Crea un collegamento simbolico dal binario appena installato nella posizione predefinita: 
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
  10. Eseguire il comando sudo ldconfigper aggiornare i collegamenti simbolici e ricostruire la cache della libreria.

Supponendo che non si siano verificati errori nell'esecuzione dei passaggi da 4 a 10, è necessario aver installato correttamente la nuova versione di OpenSSL.

Ancora una volta, dal terminale emettere il comando: 

openssl version

L'output dovrebbe essere il seguente:

OpenSSL 1.1.1a  20 Nov 2018
Kevin Bowen
fonte
1
Per quanto riguarda "A partire da ~ giugno 2019, openSSL 1.1.1 dovrebbe essere disponibile per l'installazione tramite normali aggiornamenti / installazioni di pacchetti": Basta notare che questo non sembra essere il caso di Ubuntu 18.04 (almeno sui due computer su cui ho provato ) ...
logidelic,
@logidelic Interessante. Grazie per la segnalazione. Ne prenderò nota. I miei sistemi principali sono 19.04 e ho un paio di derivati ​​(Mint) basati su bionic (18.04) che hanno già ricevuto backport. Apparentemente, launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1~18.04.4 potrebbe ancora essere 'proposto' 'o disponibile come sorgente in 18.04. Non sono davvero sicuro dello stato.
Kevin Bowen,
Ha lavorato anche su Debian Jessie. Usato 1.1.1c in quanto questa è la stessa versione in Buster.
Rudolf Vavruch,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.