Como atualizar o OpenSSL 1.1.0 para 1.1.1 no Ubuntu 18.04?

17

Estou executando um servidor de produção com o Ubuntu 18 instalado. Recentemente, descobri que meu aplicativo Web não era permitido em alguns dos firewalls instalados no local do cliente.

Descobri que meu servidor está se comunicando em TLSv1.0, TLSv1.1, TLSv1.2protocolos, presumo que a configuração do firewall esteja permitindo a comunicação apenas com o servidor no TLSv1.3protocolo.

Como o Ubuntu 18 é enviado OpenSSL version 1.1.0, e para oferecer suporte ao servidor TLS v1.3, tenho que atualizar o OpenSSL para o version 1.1.1qual é o mais recente.

Como este é um servidor de produção executando um nginxservidor, não quero tentar nada diretamente no servidor.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Qual é a melhor maneira de atualizar o OpenSSL para a v1.1.1 sem perturbar outras configurações do servidor?

dólar
fonte
2
FYI: »OpenSSL 1.1.1 SRU para Bionic« lists.ubuntu.com/archives/ubuntu-devel/2018-December/… Enquanto isso, converse com o respectivo contato responsável pela configuração do firewall, solicite requisitos / recomendações / renúncias. Duvido que você seja o único executando o 18.04 e que tenha esse problema, nem acho que não suporte o TLS 1.3 neste momento seja o problema, pois ele ainda é bastante novo e, ao contrário da sua afirmação, li que ainda causa problemas com alguns caixas intermediárias, mas você não descobrirá se não perguntar.
LiveWireBT
2
A atualização não será possível até que a SRU seja executada. Há muita coisa que depende do OpenSSL para fazer a atualização você mesmo, porque isso pode quebrar tudo.
Thomas Ward
1
finalmente bugs.launchpad.net/ubuntu/+source/openssl/+bug/1797386 está em andamento agora
Tino

Respostas:

34

NOTA : A partir de ~ agosto de 2019, o openSSL 1.1.1 deve estar disponível para instalação por meio de atualizações / instalações normais de pacotes para 18.04. Ou você pode baixar o pacote .deb diretamente aqui .


De acordo com o site do OpenSSL :

A versão estável mais recente é a série 1.1.1. Esta também é a nossa versão de Suporte a Longo Prazo (LTS), suportada até 11 de setembro de 2023.

Como isso não está nos repositórios atuais do Ubuntu, você precisará baixar, compilar e instalar a versão mais recente do OpenSSL manualmente.

Abaixo estão as instruções a seguir:

  1. Abra um terminal ( Ctrl+ Alt+ t).
  2. Pegue o tarball: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Desembale o tarball com tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Emita o comando ./config.
  5. Emita o comando make(pode ser necessário executar sudo apt install make gccantes de executar este comando com sucesso).
  6. Execute make testpara verificar possíveis erros.
  7. Binário openssl atual de backup: sudo mv /usr/bin/openssl ~/tmp
  8. Emita o comando sudo make install.
  9. Crie um link simbólico do binário instalado recentemente para o local padrão:
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
    
  10. Execute o comando sudo ldconfigpara atualizar links simbólicos e reconstruir o cache da biblioteca.

Supondo que não houve erros na execução das etapas 4 a 10, você deve ter instalado com êxito a nova versão do OpenSSL.

Novamente, no terminal, emita o comando:

openssl version

Sua saída deve ser a seguinte:

OpenSSL 1.1.1a  20 Nov 2018
Kevin Bowen
fonte
1
Em relação a "A partir de ~ junho de 2019, o openSSL 1.1.1 deve estar disponível para instalação por meio de atualizações / instalações normais de pacotes": Apenas observe que esse não parece ser o caso no Ubuntu 18.04 (pelo menos nas duas máquinas que experimentei) ) ...
logidelic 26/07
@logidelic Interessante. Obrigado por apontar isso. Vou anotar isso. Meus sistemas principais são 19.04 e eu tenho alguns derivados (Mint) baseados no biônico (18.04) que já receberam backports. Aparentemente, o launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1~18.04.4 ainda pode ser apenas 'proposto' 'ou disponível como fonte no 18.04. Não tenho muita certeza do status.
Kevin Bowen
Trabalhou no Debian Jessie também. Usado 1.1.1c, pois esta é a mesma versão no Buster.
Rudolf Vavruch 25/09