ご多忙のところ、すみません。
SoftEtherを利用するにあたりTLS1.0と1.1TLSをDisableにしたく
vpn_server.configファイル上で
bool Tls_Disable1_0 true
bool Tls_Disable1_1 true
bool Tls_Disable1_2 false
bool Tls_Disable1_3 false
と設定して対応しました。
しかし、TLS1.0とTLS1.1の設定がDisableになっていないというSecurityの診断結果となりました。
どの様に設定すればSoftEther上でTLS1.0とTLS1.1をDisableに出来るかご教授いただけますと助かります。
利用しているOS Linux Debianのバージョンは12.5、Softetherのバージョンは4.43 です。
宜しくお願いいたします。
SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法
-
sbtmgrp
- Posts: 4
- Joined: Tue Mar 12, 2024 2:14 am
SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法
You do not have the required permissions to view the files attached to this post.
-
cedar
- Site Admin
- Posts: 2081
- Joined: Sat Mar 09, 2013 5:37 am
Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法
手元でテストしてみた限りでは、下記のように正常に接続が拒否されているように見えます。
>openssl s_client --connect 127.0.0.1:5555 --tls1
CONNECTED(00000004)
42949672976:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1562:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 104 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1710324472
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
>openssl s_client --connect 127.0.0.1:5555 --tls1
CONNECTED(00000004)
42949672976:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1562:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 104 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1710324472
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
-
sbtmgrp
- Posts: 4
- Joined: Tue Mar 12, 2024 2:14 am
Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法
ご返信をありがとうございます。
私側のSoftEtherでもTLS1.0とTLS1.1の通信確認テストの実施を想定。
その方法はご教示いただきました
Host ServerのLinux OSから127.0.0.1のloopback addressと、SoftEther VPN (Ethernet over HTTPS)のTCP port number 5555を利用した
>openssl s_client --connect 127.0.0.1:5555 --tls1
を実行予定です。
結果を後ほど共有させてください。
よろしくお願いいたします。
私側のSoftEtherでもTLS1.0とTLS1.1の通信確認テストの実施を想定。
その方法はご教示いただきました
Host ServerのLinux OSから127.0.0.1のloopback addressと、SoftEther VPN (Ethernet over HTTPS)のTCP port number 5555を利用した
>openssl s_client --connect 127.0.0.1:5555 --tls1
を実行予定です。
結果を後ほど共有させてください。
よろしくお願いいたします。
-
sbtmgrp
- Posts: 4
- Joined: Tue Mar 12, 2024 2:14 am
Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法
私共のLinux OSから
>openssl s_client --connect 127.0.0.1:5555 --tls1
のコマンドを実行。
添付写真の結果となりました。
表示されたlogの内容を検証したところ、ご教示いただきました
TLS1.0とTLS1.1がDisableとなっている内容と同じステータスであると判断しております。
その判断に相違がある際はご教授いただけますと助かります。
宜しくお願い致します。
>openssl s_client --connect 127.0.0.1:5555 --tls1
のコマンドを実行。
添付写真の結果となりました。
表示されたlogの内容を検証したところ、ご教示いただきました
TLS1.0とTLS1.1がDisableとなっている内容と同じステータスであると判断しております。
その判断に相違がある際はご教授いただけますと助かります。
宜しくお願い致します。
You do not have the required permissions to view the files attached to this post.
-
cedar
- Site Admin
- Posts: 2081
- Joined: Sat Mar 09, 2013 5:37 am
Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法
このコマンドは TLS 1.0 で接続するコマンドですが、同様に --tls1_1、--tls1_2、--tls1_3 で
TLS 1.1、TLS 1.2、TLS 1.3 で接続してみることができます。
接続に成功すれば、ネゴシエーションに関連するもっと長いデータが表示され、送信するデータの入力待ちになるので区別できます。
TLS 1.2、TLS 1.3 だけで接続が成功するようになっていれば、意図した通りの動作かと思います。
TLS 1.1、TLS 1.2、TLS 1.3 で接続してみることができます。
接続に成功すれば、ネゴシエーションに関連するもっと長いデータが表示され、送信するデータの入力待ちになるので区別できます。
TLS 1.2、TLS 1.3 だけで接続が成功するようになっていれば、意図した通りの動作かと思います。
-
sbtmgrp
- Posts: 4
- Joined: Tue Mar 12, 2024 2:14 am
Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法
ご教授ありがとうございます。
openssl s_client --connect 127.0.0.1:5555 --tls1_1
openssl s_client --connect 127.0.0.1:5555 --tls1_2
openssl s_client --connect 127.0.0.1:5555 --tls1_3
のコマンドを実行。
TLS 1.1のlogはTLS1.0 と同様の結果。
TLS1.2とTLS1.3のlog上に "Certificate chain"、"Server certificate"が表示され
"SSL-Session:"においては "Cipher", "Session-ID", "Master-Key"等の情報が提示。
これらのlogの結果によりTLS1.0とTLS1.1はDisableになっており
TLS1.2とTLS1.3がEnableと判断いたしました。
ありがとうございました。
openssl s_client --connect 127.0.0.1:5555 --tls1_1
openssl s_client --connect 127.0.0.1:5555 --tls1_2
openssl s_client --connect 127.0.0.1:5555 --tls1_3
のコマンドを実行。
TLS 1.1のlogはTLS1.0 と同様の結果。
TLS1.2とTLS1.3のlog上に "Certificate chain"、"Server certificate"が表示され
"SSL-Session:"においては "Cipher", "Session-ID", "Master-Key"等の情報が提示。
これらのlogの結果によりTLS1.0とTLS1.1はDisableになっており
TLS1.2とTLS1.3がEnableと判断いたしました。
ありがとうございました。