Cryptage TLS pour la communication Client/serveur IPv6/IPv4


Original: http://www.fehcom.de/ipnet/ucspi-ssl.html

FEHCom
Ce qui est ucspi-ssl ?


SSLServer, sslclient et sslhandle sont des outils de ligne de commande pour créer des applications client-serveur SSL. Ils sont conformes à l’Interface du programme Client-serveur UNIX, UCSPI.

SSLServer écoute les connexions IPv6 ou IPv4 et dirige un programme pour chaque connexion, qu’il accepte. L’environnement du programme comprend des variables qui contiennent les noms d’hôte local et distant, les adresses IP et les numéros de port. SSLServer offre une limite de simultanéité sur acceptation de nouvelles connexions et sélective de manutention de connexions basé sur l’identité du client supportant la notation adresse CIDR IP. SSLServer appuie STARTTLS et LSE.

SSLClient demande une connexion de sockets TCP IPv4 ou IPv6 et exécute un programme. L’environnement du programme comprend les mêmes variables que pour sslserver.

 

Sources


Histoire


ucspi-ssl 0,95 est un fork de la version de l’exposant de 0,70 ucspi-ssl, y compris

  • Extensions de STARTTLS de Scott Gifford,
  • certificat de chaînage de soutien,
  • SubAltName reconnaissance pour la vérification de nom de domaine complet, et
  • CIDR soutenir pour la cdb filtrer les connexions IPv4/IPv6.
  • IPv6 améliorations proviennent principalement de Felix von Leitner.
    Note : Due à la prise en charge d’IPv6, les arguments de ligne de commande pour chaque
  • programme sont légèrement modifiés.
  • ucspi-ssl 0,93 est simplifiée avec ucspi-tls6 1.00
  • ucspi-ssl 0,94 appuie pour sslserver un client étendu (utilisateur) X.509 cert.
  • ucspi-ssl 0,95 permet sslserver connecter le protocole SSL et le chiffrement des paramètres au moyen de l’option – v :

@4000000054b2cd36310b0fb4 sslserver : ssl 20791 accepter TLSv1:AES128-SHA

Alors que la négociation SSL est désactivée par défaut (éviter le bogue de caniche), TLSv1 désactivable prieur de compilation en modifiant le fichier ucspissl.h.

ucspi-ssl 0,95 fournit une interface de programmation haut niveau pour OpenSSL qui est obligatoire pour un support de Spamcontrol STARTTLS pour qmail.
C’est facilitée par les moyens les ucspissl.a lib (après compilation ; situé dans. / compile) et l’ucspissl.h de fichier d’en-tête. Afin d’atteindre une compatibilité descendante avec Spamcontrol 2.6, ils doivent être copiés (localement) à ssl.a et ssl.h respectivement, prieur de compilation Spamcontrol.

Dans l’oder à utiliser ucspi-ssl, vous devez installer une dépendance pour générer la cdb ucspi-tls6 (tcprules). Des versions plus anciennes, c’est-à-dire ucspi-tls-0,88 peuvent être utilisées, mais ne fournissent soutien CIDR ni IPv6 pour la cdb.

 

Comment installer ucspi-ssl


ucspi-ssl utilise les conventions de D.J. Bernstein/package pour l’installation. En règle générale, ONU-tre l’archive sous/package, changer de host/superscript.com/net/ucspi-ssl-<version> et appelez package/install serait suffisant.
ucspi-ssl est pré-packagée pour environnement suite l’AMD64.
Selon vos paramètres de Perl, préférez-vous réussir avec package/install base et package/man pour l’homme-des pages supplémentaires.

Remarque : Le module Perl supplémentaire et le paquet de tests disponibles/rts peuvent échouer sur toute plate-forme Unix.

 

Description des programmes


Client et serveurs :

Dépendances


Dans l’oder pour construire la PEH pour contrôler les raccordements entrants pour sslserver, le programme tcprules est requis qui vient avec le paquet ucspi-tcp6. Des versions plus anciennes d’ucspi-tcp peuvent être utilisées aussi bien, mais ne fournissent pas les fonctionnalités ni CIDR IPv4 ou IPv6. La PEH générée est cependant une compatibilité binaire entre toutes les versions.

 

Informations générales


Information de sécurité


Depuis ucspi-ssl dépend de OpenSSL, elle est intrinsèquement affectée par bugs et défauts ici. Ainsi, s’il vous plaît vérifier CVEs. Dans le cas où vous devez mettre à jour les bibliothèques OpenSSL, procédez comme suit :

  • Installer la nouvelle version de OpenSSL de vous * référentiel NIX–ou–
  • installer les sources OpenSSL de la source. Assurez-vous d’utiliser le même chemin que votre installation d’origine. En général, les fichiers d’en-tête requis sont attendus /usr/include/openssl.
  • Recherchez votre répertoire de source ucspi-ssl ; habituellement /package/host/superscript/net/ucspi-ssl-x.yz
  • Supprimer le répertoire. / Compiler et réexécutez le paquet/install. Cela permet de lier ucpsi-ssl avec la nouvelle version d’OpenSSL.

Remarque : Bien qu’ucspi-ssl souffrait-il de la Heartbleed d’un bug dans OpenSSL, il est très improbable que cela pouvait exploitent depuis les informations pertinentes de sécurité. SSLServer en particulier soulève un nouvel espace d’adressage (et contenant le contexte SSL vulnérable) pour chaque nouvelle connexion et la période d’enquête. En ce sens, sslserver atténue vos risques.

Comments are closed.