こんにちは@ rrajaravi 、 http： //docs.gunicorn.org/en/latest/settings.html#ciphersを設定してみましたか？

バンプ

それが機能するかどうかを判断する方法は？

http://superuser.com/questions/109213/how-do-i-list-the-ssl-tls-cipher-suites-a-particular-website-offers

この問題を解決できますか？

TL; DR
Gunicornは以下をサポートしているようです。
TLSv1
SSLv2

そして、サポートしていません：
SSLv3
SSLv23
TLSv1_1
TLSv1_2

@berkerpeksagのドキュメントhttp://docs.gunicorn.org/en/latest/settings.html#ciphersが正しく表示されません。
ssl.pyでプロトコルを見つけました。 Ubuntu 14.04 LTS、Python 3.5.1、OpenSSL 1.0.1fのコマンドラインオプションで提供された場合、TLSv1とSSLv2を除いて、いずれも機能しません。2014年1月6日

残りはエラーで失敗します：
[2016-03-22 08:51:49 +0000] [2924] [エラー]ワーカープロセスの例外：
トレースバック（最後の最後の呼び出し）：
ファイル「/home/me/Envs/myproject/lib/python3.5/site-packages/gunicorn/workers/sync.py」、行126、ハンドル
self.cfg.ssl_options）wrap_socket内のファイル "/usr/local/lib/python3.5/ssl.py"、行1064暗号=暗号）** initのファイル "/usr/local/lib/python3.5/ssl.py"、行690
self._context.set_ciphers（ciphers）
ssl.SSLError :( '暗号を選択できません。'、）

/usr/local/lib/python3.5/ssl.py
次の定数は、さまざまなSSLプロトコルバリアントを識別します。

PROTOCOL_SSLv2
PROTOCOL_SSLv3
PROTOCOL_SSLv23
PROTOCOL_TLSv1
PROTOCOL_TLSv1_1
PROTOCOL_TLSv1_2

これをトリアージしてくれてありがとう、@ edwardotis。 ドキュメントを明確にするために、これを再開します。

@berkerpeksagも適切なデフォルトを使用していますか？

TLSv1は古いPythonバージョンでは問題ないように見えますが、デフォルト値をSSLv23に変更して、利用可能な最良のプロトコル（クライアントとサーバーの両方）を使用できる可能性があります。

また、Gunicorn 20でSSLv2またはSSLv3が使用されている場合SSLv2 、例外を発生させる必要があると思います（次の19.xリリースで非推奨になると便利です）。

@berkerpeksag ：+1：

誰かがこれらの変更を実装しましたか？ そうでない場合は、試してみてPRを開いていただければ幸いです。暗号をTLSv1.0を超えるものに設定できることは私たちにとって重要であり、1より大きいTLSのすべてのバージョンを見ることができます。設定しないでください..デフォルトで1.0に戻ります（ドキュメントにリストされているものとここにリストされている定数は役に立ちませんでした）- No cipher can be selected出力するだけです

@AndrewJHartそれは素晴らしいことです！ ：） ありがとう！

他のバージョンを使用することは可能です。 コマンドラインで--ssl-versionに定数を指定する必要があります。 これらの定数は、 ssl stdlibモジュール

$ python -c "import ssl; print(ssl.PROTOCOL_SSLv23)"     
  2
$ python -c "import ssl; print(ssl.PROTOCOL_TLSv1_2)"
  5

--ssl-version 2または--ssl-version 5を指定するだけで、TLS1.2暗号をサポートする必要があります。

@AndrewJHartは、SSLの改善に貢献したい場合は、＃1440を

また、TLSv1の代わりにSSLv23定数を使用するようにgunicorn /config.pyのデフォルト値を変更する単純なプルリクエストは素晴らしいでしょう。

すみません、＃1140と言うつもりでした

この問題が再開された理由がわかりません。 Gunicornを--ssl-version 2テストしたところ、TLS1.2暗号が正常に機能することがわかりました。

閉鎖しますが、誤って閉鎖したと思われる場合は、再度開いて説明してください。

デフォルトの変更を追跡するために＃1249を開きました。

私はそれを再開しました：

a）ユーザーは2または5代わりに2 'SSLv23'または'TLSv1_2'を渡すことができる必要があります。
b）Pythonドキュメントにリダイレクトするのではなく、利用可能なオプションを文書化する必要があります。 https://docs.python.org/3.5/library/ssl.htmlはstdlibで最も長いドキュメントの1つであり、ユーザーは利用可能なオプションを確認するためだけに多くの時間を費やすべきではありません。

ドキュメントラベルを追加して、再度開きました。

19.5リリースの前（つまり水曜日の前）に閉じることができれば、ここで何が必要か教えてください:)

これはまだ開いており、名前付き定数のサポートのみを提供します。
--ssl-バージョンフラグ。

月、2016年5月2日には、午前5時43ブノワChesneauの[email protected]は書きました：

19.5リリースの前に閉じることができる場合は、ここで何が必要かを教えてください
（つまり、水前に）かっこいいでしょう:)

—
開/閉状態を変更したため、これを受け取っています。
このメールに直接返信するか、GitHubで表示してください
https://github.com/benoitc/gunicorn/issues/1114#issuecomment -216225302

今のところ3.xバージョンを忘れましょう。 Pythonのすべてのバージョンでそれをサポートするために追加する必要がある定数は何ですか？

概念実証は次のとおりです： https ：

TLSの特定の異なるバージョンを有効または無効にすることは可能ですか？ たとえば、古いバージョンを無効または有効にできるようにするのが一般的です。 「--ssl-version」を使用して古いバージョンを無効にできるのか、それとも複数回使用できるのか（SSL3を無効にしてTLS1.0を無効にするなど）は、ドキュメントからはわかりません。

SSLContextを使用するように切り替えて、新しいオプション--ssl-options SSLContextを追加する必要があると思います（おそらくssl.create_default_context()使用するため、SSLv3とTLS 1.0はデフォルトで無効になります）組み合わせが多すぎる--ssl-versionが名前付き定数を受け入れるとは思わないが、ユーザーはそれをGunicorn構成ファイルに入れることができる。

ssl_options = ssl.OP_NO_COMPRESSION | ssl.OP_NO_SSLv2 | ssl.OP_NO_SSLv3

PROTOCOL_ *を使用して、プロトコルと正確なバージョンの両方を指定することは、非推奨になっているようです。 ssl_optionsが現在実装されていないと仮定して、私は＃1680を調達しました。

1890年に修正されました。

おそらく誰かが私のためにいくつかのガイダンスを持っているかもしれませんか？ 私はこれにしばらく苦労しています。 これが私の環境です：

Python 3.4.3
gunicorn==19.9.0
pyOpenSSL==18.0.0
cryptography==2.4.2

gunicornフラグ--ssl-version 5も使用しています

私のサーバーはTLS1.2を提供しているようですが、安全でない暗号スイートが大量に許可されています。 暗号スイートを制限するにはどうすればよいですか？ --ciphersフラグを試しましたが、うまくいきませんでした。

ありがとう！

--ssl-version 5 --ciphers ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256
うまく機能します：

〜＃openssl s_client -connect localhost：443 -cipher ECDHE-RSA-AES256-GCM-SHA384
接続済み（00000003）
深さ= 3 .. ..

〜＃openssl s_client -connect localhost：443 -cipher DHE-RSA-AES256-GCM-SHA384
接続済み（00000003）
140497569816640：エラー：14094410 ：SSLルーチン：ssl3_read_bytes ：sslv3アラートハンドシェイクの失敗：../ ssl / record / rec_layer_s3.c ：1407：SSLアラート番号40

@lemrouchに感謝します。 なぜそれが以前私にとってうまくいかなかったのか分かりません。 それは今私のために働いています！

gunicornフラスコアプリケーションでTLS1.0の代わりにTLS1.2を使用するにはどうすればよいですか？ 入力する必要のあるターミナルコマンドまたはコードを共有していただけませんか？

@rkbalaこれは私のフラスコアプリに関連するコードがどのように見えるかです：

...
from ssl import SSLContext, PROTOCOL_TLSv1_2, OP_NO_SSLv3, OP_NO_TLSv1, OP_NO_TLSv1_1
...
ssl = SSLContext(PROTOCOL_TLSv1_2)
ssl.set_ciphers('ECDH+AES256:ECDH+AES128:' + 
                '!aNULL:!eNULL:!MD5:!DSS:!RC4:!SSLv2:!SSLv3:!TLSv1')
ssl.options |= OP_NO_SSLv3
ssl.options |= OP_NO_TLSv1
ssl.options |= OP_NO_TLSv1_1
ssl.load_cert_chain('/etc/letsencrypt/live/fullchain.pem',
                    '/etc/letsencrypt/live/privkey.pem')
...
if __name__ == '__main__':
    app.run(host='0.0.0.0', port='443', ssl_context=ssl)

@rkbalaこれは私のフラスコアプリに関連するコードがどのように見えるかです：

...
from ssl import SSLContext, PROTOCOL_TLSv1_2, OP_NO_SSLv3, OP_NO_TLSv1, OP_NO_TLSv1_1
...
ssl = SSLContext(PROTOCOL_TLSv1_2)
ssl.set_ciphers('ECDH+AES256:ECDH+AES128:' + 
                '!aNULL:!eNULL:!MD5:!DSS:!RC4:!SSLv2:!SSLv3:!TLSv1')
ssl.options |= OP_NO_SSLv3
ssl.options |= OP_NO_TLSv1
ssl.options |= OP_NO_TLSv1_1
ssl.load_cert_chain('/etc/letsencrypt/live/fullchain.pem',
                    '/etc/letsencrypt/live/privkey.pem')
...
if __name__ == '__main__':
    app.run(host='0.0.0.0', port='443', ssl_context=ssl)

@pixelrebelありがとうございます!! 試してみてお知らせします。

このssl.options | = OP_NO_ *はどういう意味ですか？

暗号を変更できますか？ または、上記のset_ciphersはランダム暗号を設定しますか？

@rkbalaなぜビット単位の演算が必要だったのか思い出せません。 それは必要ではないかもしれません...テストする価値があります。

暗号をTLS1.2と互換性のあるものに変更できます。 私の場合、私のアプリはSlackが通信するためのAPIを提供します。 したがって、Slackbotが使用する暗号をサポートするだけで済みました。

@rkbala IOは、なぜその構文が必要なのか覚えていないことを明確にする必要がありますが、当時は、アプリがTLS1.2のみを使用し、それ以前のバージョンを使用しないように、OP_NO_ *オプションを明示的に指定する必要があったと思います。

@rkbalaなぜビット単位の演算が必要だったのか思い出せません。 それは必要ではないかもしれません...テストする価値があります。

暗号をTLS1.2と互換性のあるものに変更できます。 私の場合、私のアプリはSlackが通信するためのAPIを提供します。 したがって、Slackbotが使用する暗号をサポートするだけで済みました。

よろしくお願いします。 指定しない場合、gunicornはデフォルトのPython暗号を使用すると思います。 私が間違っている場合は私を訂正してください。

また、上記のフラスココードにより、gunicornはTLSv1.2でのみフラスコアプリを起動しますか？ 質問は、gunicornを介してflaskアプリを実行したいからです。 今日、gunicornターミナルコマンド「gunicorn—ssl-version TLSV1_2 project：app 」がtlsv1.2でflaskアプリを起動することを知りました。 どちらの方法がより効率的ですか？

はい、それはTLS1.2のみを行います。 それ以外はすべて非推奨のAFAIKです。 同じ効果があると思いますが、コマンドラインオプションを使用すると、スクリプトのオプションが上書きされると思います。 私は決してgunicornの専門家ではありません。 だから私のアドバイスを一粒の塩で受け止めてください。

はい、それはTLS1.2のみを行います。 それ以外はすべて非推奨のAFAIKです。 同じ効果があると思いますが、コマンドラインオプションを使用すると、スクリプトのオプションが上書きされると思います。 私は決してgunicornの専門家ではありません。 だから私のアドバイスを一粒の塩で受け止めてください。

ありがとう@pixelrebel私はその部分を探求します。