Abilitazione di SSLCompression in apache

1

Sto tentando di abilitare SSLCompression in apache (localhost) a scopo di test.

La mia versione di apache è la 2.4.18 e ho aggiunto la riga SSLCompression on sia nel file apache2.conf che nel mio file .htaccess . Ma ancora non posso abilitarlo.

Ho scaricato la seguente versione di openssl link

Sto usando openssl per generare i certificati e testarlo. Quando eseguo il comando

apps/openssl s_client -connect localhost:443

ottengo la seguente risposta

SSL handshake has read 2625 bytes and written 310 bytes
Verification error: self signed certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:

dove dice che non ho la compressione abilitata. Qualcuno può dirmi dove sto sbagliando?

FYI Ho attivato mod_rewrite e mod_deflate moduli in apache2.

    
posta Mohammed Fawzan 19.09.2016 - 15:43
fonte

1 risposta

3

In base alle note sulla versione di OpenSSL 1.1.0 :

CRIME protection: disable compression by default, even if OpenSSL is compiled with zlib enabled. Applications can still enable compression by calling SSL_CTX_clear_options(ctx, SSL_OP_NO_COMPRESSION), or by using the SSL_CONF library to configure compression.

Di conseguenza, OpenSSL deve essere compilato con l'opzione giusta e Apache deve abilitare la compressione nel modo giusto ...

Ti suggerisco di usare un ramo più vecchio precedentemente compilato con l'opzione zlib. Ad esempio usando Ubuntu 16.04:

cd /tmp
sudo apt-get build-dep openssl
sudo apt install zlib1g-dev zlibc
apt-get source openssl
cd openssl-1.0.2g/
sed -i -e "s/no-zlib/zlib/g" debian/rules
dpkg-buildpackage -rfakeroot -uc -b
cd ..
sudo dpkg -i libssl1.0.0_1.0.2g-1ubuntu4.2_amd64.deb libssl-dev_1.0.2g-1ubuntu4.2_amd64.deb openssl_1.0.2g-1ubuntu4.2_amd64.deb

Questo, mantenendo SSLCompression on in Apache, dovrebbe fare il trucco credo.

EDIT : dopo il test, sembra funzionante:

root@test# echo "" | openssl s_client -connect 127.0.0.1:443 | grep zlib
...
Compression: zlib compression
Expansion: zlib compression
    Compression: 1 (zlib compression)
DONE
    
risposta data 22.09.2016 - 16:34
fonte

Leggi altre domande sui tag