Comment mettre à niveau OpenSSL 1.1.0 vers 1.1.1 dans Ubuntu 18.04?

17

J'ai exécuté un serveur de production avec Ubuntu 18 installé. Récemment, j'ai constaté que mon application Web n'était pas autorisée sur certains des pare-feu installés chez le client.

J'ai trouvé que mon serveur communique au niveau des TLSv1.0, TLSv1.1, TLSv1.2protocoles, je suppose que le paramètre du pare-feu autorise la communication avec le serveur TLSv1.3uniquement sur le protocole.

Comme Ubuntu 18 est livré avec OpenSSL version 1.1.0, et pour prendre en charge le serveur, TLS v1.3je dois mettre à niveau OpenSSL vers version 1.1.1la dernière version.

Comme il s'agit d'un serveur de production exécutant un nginxserveur, je ne veux rien essayer directement sur le serveur.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Quelle est la meilleure façon de mettre à niveau OpenSSL vers la v1.1.1 sans déranger les autres paramètres du serveur?

18.04 upgrade openssl dollar
la source
2
Pour info: »OpenSSL 1.1.1 SRU dans Bionic« lists.ubuntu.com/archives/ubuntu-devel/2018-December/… En attendant, parlez au contact respectif qui est en charge de la configuration du pare-feu, demandez des exigences / recommandations / renonciations. Je doute que vous soyez le seul à utiliser la version 18.04 et à avoir ce problème, et je ne pense pas que le fait de ne pas prendre en charge TLS 1.3 à ce stade soit le problème car il est encore assez nouveau et contrairement à votre affirmation, j'ai lu qu'il causait toujours des problèmes avec certains boîtiers de médiation, mais vous ne saurez pas si vous ne demandez pas.
LiveWireBT
2
La mise à niveau ne sera pas possible tant que cette SRU n'aura pas été exécutée. Il y a trop de choses qui dépendent d'OpenSSL pour faire la mise à niveau vous-même, car cela pourrait tout casser.
Thomas Ward
1
enfin bugs.launchpad.net/ubuntu/+source/openssl/+bug/1797386 est en cours maintenant
Tino

Réponses:

34

REMARQUE : Depuis ~ août 2019, openSSL 1.1.1 devrait être disponible pour l'installation via des mises à niveau / installations de packages normales pour 18.04. Vous pouvez également télécharger le package .deb directement à partir d' ici .

Selon le site Web d'OpenSSL :

La dernière version stable est la série 1.1.1. Il s'agit également de notre version Long Term Support (LTS), prise en charge jusqu'au 11 septembre 2023.

Étant donné que cela ne se trouve pas dans les référentiels Ubuntu actuels, vous devrez télécharger, compiler et installer la dernière version d'OpenSSL manuellement.

Voici les instructions à suivre:

  1. Ouvrez un terminal ( Ctrl+ Alt+ t).
  2. Récupérez l'archive tar: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Déballez le tarball avec tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Émettez la commande ./config.
  5. Émettez la commande make(vous devrez peut-être exécuter sudo apt install make gccavant d'exécuter cette commande avec succès).
  6. Exécutez make testpour vérifier les éventuelles erreurs.
  7. Sauvegarde du binaire openssl actuel: sudo mv /usr/bin/openssl ~/tmp
  8. Émettez la commande sudo make install.
  9. Créez un lien symbolique du binaire nouvellement installé vers l'emplacement par défaut: 
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
  10. Exécutez la commande sudo ldconfigpour mettre à jour les liens symboliques et reconstruire le cache de la bibliothèque.

En supposant qu'il n'y ait pas eu d'erreur lors de l'exécution des étapes 4 à 10, vous devriez avoir installé avec succès la nouvelle version d'OpenSSL.

Encore une fois, à partir du terminal, lancez la commande: 

openssl version

Votre sortie doit être la suivante:

OpenSSL 1.1.1a  20 Nov 2018
Kevin Bowen
la source
1
Concernant "À partir de ~ juin 2019, openSSL 1.1.1 devrait être disponible pour une installation via des mises à niveau / installations normales de packages": il suffit de ne pas noter que cela ne semble pas être le cas sur Ubuntu 18.04 (au moins sur les deux machines sur lesquelles j'ai essayé). ) ...
logidelic
@logidelic Intéressant. Merci d'avoir fait remarquer cela. J'en prendrai note. Mes principaux systèmes sont 19.04 et j'ai quelques dérivés (Mint) basés sur bionic (18.04) qui ont déjà reçu des rétroportages. Apparemment, launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1~18.04.4 il ne peut toujours être `` proposé '', ou disponible en tant que source en 18.04. Je ne suis pas vraiment sûr du statut.
Kevin Bowen
A également travaillé sur Debian Jessie. 1.1.1c utilisé car il s'agit de la même version dans Buster.
Rudolf Vavruch