Выбор версии TLS в proxy_ssl_protocols
Evgeniy Berdnikov
bgx на protva.ru
Чт Ноя 15 19:50:15 UTC 2018
Коллеги, добрый вечер.
Есть задача спроксировать соединение до сервера с Exchange 2013,
который не умеет TLSv1.2 и выше -- он просто обрывает соединение.
Это выяснено с помощью "openssl s_client" перебором ключей -tlsXXX.
Openssl с ключами -tls1 и -tls1_1 соединение устанавливает.
Смотрим то же самое на nginx, для начала TLSv1.2. Конфиг стенда:
server {
listen *:8080 ;
server_name cio.protva.ru ;
location /owa/ {
proxy_pass https://172.23.0.4/owa/ ;
proxy_ssl_protocols TLSv1.2 ;
...
}
}
Запрос принимается, nginx отсылает эксчейнджу нормальный пакет
ClientHello (это подтверждается анализатором трафика, виден список
шифров и прочие потроха), эксчейндж тупо рвёт коннекцию,
в лог пишется:
2018/11/15 21:47:35 [error] 12393#12393: *1 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking to upstream, client: 192.168.27.13, server: cio.protva.ru, request: "GET /owa/ HTTP/1.1", upstream: "https://172.23.0.4:443/owa/", host: "cio.protva.ru:8080"
Здесь всё нормально и совпадает с результатом "openssl s_client -tls1_2".
Теперь понижаем версию, чтобы получить желаемый коннект: прописываем
в конфиге "TLSv1.1" и получаем в логе
2018/11/15 21:50:25 [crit] 12454#12454: *1 SSL_do_handshake() failed (SSL: error:141E70BF:SSL routines:tls_construct_client_hello:no protocols available) while SSL handshaking to upstream, client: 192.168.27.13, server: cio.protva.ru, request: "GET /owa/ HTTP/1.1", upstream: "https://172.23.0.4:443/owa/", host: "cio.protva.ru:8080"
при этом по сети эксчейнджу летит такой пакет:
------------------------------------------------------------------------
Internet Protocol Version 4, Src: 192.168.30.31, Dst: 172.23.0.4
Transmission Control Protocol, Src Port: 33938, Dst Port: 443, Seq: 1, Ack: 1, Len: 7
Secure Sockets Layer
TLSv1 Record Layer: Alert (Level: Fatal, Description: Internal Error)
Content Type: Alert (21)
Version: TLS 1.0 (0x0301)
Length: 2
Alert Message
Level: Fatal (2)
Description: Internal Error (80)
------------------------------------------------------------------------
То есть вместо изменения версии происходит какая-то внутренняя ошибка
"tls_construct_client_hello:no protocols available". Такой же результат
получается если указать TLSv1, SSLv3 или несколько версий протокола.
Это бага или я что-то упустил?
Информация о стендовой системе: Debian/unstable (32bit), пакеты
nginx-light_1.14.1-1_i386 и libssl_1.1.1-2_i386.
# nginx -V
nginx version: nginx/1.14.1
built with OpenSSL 1.1.1 11 Sep 2018
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-AZYb5D/nginx-1.14.1=. -fstack-protector-strong -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -fPIC' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_gzip_static_module --without-http_browser_module --without-http_geo_module --without-http_limit_req_module --without-http_limit_conn_module --without-http_memcached_module --without-http_referer_module --without-http_split_clients_module --without-http_userid_module --add-dynamic-module=/build/nginx-AZYb5D/nginx-1.14.1/debian/modules/http-echo
PS. Пытался прописывать proxy_ssl_name, но шаманство не помогло, конечно.
--
Eugene Berdnikov
Подробная информация о списке рассылки nginx-ru