nginx mit TLS 1.3 und der alert number 70

Da habe ich nun ein bisschen für gebraucht, bis TLS 1.3 endlich auf einer bestimmten Maschine lief. Ich nutze nginx als Reverse Proxy und terminiere dabei ssl dort. Es werden die Repositories von nginx genutzt. Aktuell ist dort zur Zeit Version 1.19.10 von nginx. Das System ist ein Ubuntu 18.04. Wollte ich nun für eine bestimmte Seite TLS 1.3 aktivieren, kam beim Test immer nur folgendes:

$ openssl s_client -connect dieseitemittls1_3.de:443 -tls1_3
CONNECTED(00000005)
140426905970496:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:../ssl/record/rec_layer_s3.c:1528:SSL alert number 70

OpenSSL 1.1.1 wird genutzt und die Nginx Version kann auch TLS 1.3.

Funktioniert hat es letztendlich nachdem ich für die default site auch TLS 1.3 aktiviert habe. Wobei diese eigentlich nichts mit der anderen Seite zu tun haben sollte. Durch das aktivieren in der default site ist nun TLS 1.3 für alle Seiten aktiviert, auch wenn dort nur TLS 1.2 eingetragen ist.

Ein bisschen würde mich schon interessieren, ob das Verhalten auch auftritt, wenn man die Ubuntu Repositories für nginx nutzt.

Drauf gekommen bin ich via eines Beitrags bei askubuntu.

Kurztipp: nmap range scan heartbleed

Mit nmap lässt sich relativ unkompliziert ein range scan auf den heartbleedbug durchführen, dazu ist aber eine aktuelle nmap Version nötig:

wget http://nmap.org/dist/nmap-6.45.tar.bz2
bzip2 -cd nmap-6.45.tar.bz2 | tar xvf -
cd nmap-6.45/
./configure
make

wer es dann noch installieren will kann ein

make install 

ausführen, womit nmap nach usr/local/bin/ installiert wird, ansonsten liegt die nmap binary direkt im Ordner und kann z.B. mit

./nmap -sV -p 443,10000 --script=ssl-heartbleed.nse 123.123.123.1/24 

aufgerufen werden. Ein Scan durch ein ganzes Subnetz kann schon ein paar Minuten dauern und treibt die Last der Maschine recht hoch. Also am besten auf parallele Prozessese verzichten. Die Portliste kann man natürlich noch um diverse Ports erweitern (443, 993, 25, 465 usw.).
Bei Erfolg sieht das Ergebnis in etwa so aus:

...
Host is up (0.0014s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-heartbleed:
|   VULNERABLE:
|   The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected by SSL/TLS encryption.
|     State: VULNERABLE
|     Risk factor: High
|     Description:
|       OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading memory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption keys themselves.
|
|     References:
|       http://cvedetails.com/cve/2014-0160/
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
|_      http://www.openssl.org/news/secadv_20140407.txt
...

Noch ein Hinweis…liebe Webmin Benutzer denkt daran Webmin neu zu starten, denn das ist natürlich auch vom Bug betroffen.

Links:

http://nmap.org/download.html

http://www.cirgan.net/scanning-openssl-heartbleed-bug-with-nmap/