@rrajaravi님 , 안녕하세요, http://docs.gunicorn.org/en/latest/settings.html#ciphers를 설정해 보셨습니까 ?

충돌

작동 여부를 결정하는 방법은 무엇입니까?

http://superuser.com/questions/109213/how-do-i-list-the-ssl-tls-cipher-suites-a-particular-website-offers

이 문제를 닫을 수 있습니까?

TL;DR
Gunicorn은 다음을 지원하는 것으로 보입니다.
TLSv1
SSLv2

다음을 지원하지 않습니다.
SSLv3
SSLv23
TLSv1_1
TLSv1_2

@berkerpeksag http://docs.gunicorn.org/en/latest/settings.html#ciphers 의 문서가 올바르지 않은 것 같습니다.
ssl.py에서 프로토콜을 찾았습니다. TLSv1 및 SSLv2를 제외하고는 Ubuntu 14.04 LTS, Python 3.5.1, OpenSSL 1.0.1f 2014년 1월 6일의 명령줄 옵션에서 제공될 때 작동하지 않습니다.

나머지는 오류와 함께 실패합니다.
[2016-03-22 08:51:49 +0000] [2924] [오류] 작업자 프로세스의 예외:
역추적(가장 최근 호출 마지막):
파일 "/home/me/Envs/myproject/lib/python3.5/site-packages/gunicorn/workers/sync.py", 126행, 핸들
self.cfg.ssl_options)wrap_socket의 파일 "/usr/local/lib/python3.5/ssl.py", 줄 1064암호 = 암호)파일 "/usr/local/lib/python3.5/ssl.py", 줄 690, **초기화
self._context.set_ciphers(암호)
ssl.SSLError: ('암호를 선택할 수 없습니다.',)

/usr/local/lib/python3.5/ssl.py
다음 상수는 다양한 SSL 프로토콜 변형을 식별합니다.

PROTOCOL_SSLv2
PROTOCOL_SSLv3
PROTOCOL_SSLv23
PROTOCOL_TLSv1
PROTOCOL_TLSv1_1
PROTOCOL_TLSv1_2

분류해 주셔서 감사합니다. @edwardotis. 문서를 명확히 하기 위해 이것을 다시 열겠습니다.

@berkerpeksag 도 좋은 기본값을 사용하고 있습니까?

TLSv1 는 이전 Python 버전에서는 괜찮아 보이지만 기본값을 SSLv23 로 변경하여 최상의 사용 가능한 프로토콜(클라이언트와 서버 모두에 대해)을 사용할 수 있습니다.

또한 Gunicorn 20에서 SSLv2 또는 SSLv3 가 사용되는 경우 예외를 발생시켜야 한다고 생각합니다(다음 19.x 릴리스에서 사용하지 않는 것이 좋습니다).

@berkerpeksag : +1:

누구든지 이러한 변경 사항을 구현했습니까? 그렇지 않다면 기회를 제공하고 홍보를 시작하겠습니다.. 암호를 > TLSv1.0으로 설정할 수 있다는 것은 우리에게 중요하며 우리가 볼 수 있는 것에서 볼 때 1보다 큰 TLS 버전은 할 수 없습니다. t be set.. 그냥 기본값이 1.0으로 돌아갑니다(우리는 문서에 나열된 것을 시도했고 여기에 나열된 상수는 아무 소용이 없었습니다) -- 단지 No cipher can be selected 출력합니다

@AndrewJHart 굉장할거야 ! :) 감사!

다른 버전을 사용하는 것이 가능합니다. 명령줄에서 --ssl-version 에 상수를 지정하기 ssl stdlib 모듈에서 가져옵니다.

$ python -c "import ssl; print(ssl.PROTOCOL_SSLv23)"     
  2
$ python -c "import ssl; print(ssl.PROTOCOL_TLSv1_2)"
  5

--ssl-version 2 또는 --ssl-version 5 를 지정하기만 하면 TLS 1.2 암호를 지원해야 합니다.

@AndrewJHart SSL 개선에 기여하고 싶다면 #1440을 살펴보세요. 서버 암호 순서 기본 설정과 같이 컨텍스트를 더 잘 제어하려면 SSLContext를 사용하도록 전환해야 합니다. 동기화 작업자에 대해 이를 구현하기 시작하는 예와 함께 해당 문제에 대한 차이점을 잠시 게시하겠습니다. SSL 지원을 개선하는 데 도움을 주시면 대단히 감사하겠습니다.

또한 TLSv1 대신 SSLv23 상수를 사용하도록 gunicorn/config.py의 기본값을 변경하는 간단한 pull 요청이 좋습니다.

죄송합니다. #1140이라고 말하고 싶었습니다.

왜 이 문제가 다시 열렸는지 이해가 되지 않습니다. --ssl-version 2 Gunicorn을 테스트했으며 TLS 1.2 암호가 제대로 작동한다는 것을 발견했습니다.

나는 닫을 것이지만, 내가 잘못했다고 생각한다면 다시 열고 설명하십시오.

기본값 변경을 추적하기 위해 #1249를 열었습니다.

다음과 같은 이유로 다시 열었습니다.

a) 사용자는 2 또는 5 대신 'SSLv23' 또는 'TLSv1_2' 를 전달할 수 있어야 합니다.
b) 사용 가능한 옵션을 Python 문서로 리디렉션하는 대신 문서화해야 합니다. https://docs.python.org/3.5/library/ssl.html 은 stdlib에서 가장 긴 문서 중 하나이며 사용자는 사용 가능한 옵션을 확인하는 데 너무 많은 시간을 할애해서는 안됩니다.

문서 레이블을 추가하여 다시 열었습니다.

19.5 릴리스 전에(즉, 결혼 전) 닫을 수 있다면 여기에 무엇이 필요한지 알려주십시오. :)

이것은 명명된 상수에 대한 지원만 제공하기 위해 여전히 열려 있습니다.
--ssl-버전 플래그.

2016년 5월 2일 월요일 05:43 Benoit Chesneau [email protected]에서 다음과 같이 썼습니다.

19.5 릴리스 전에 닫을 수 있다면 여기에 무엇이 필요한지 알려주십시오.
(즉, 결혼 전) 멋질 것입니다 :)

—
열기/닫기 상태를 수정했기 때문에 이 메시지가 표시됩니다.
이 이메일에 직접 답장하거나 GitHub에서 확인하세요.
https://github.com/benoitc/gunicorn/issues/1114#issuecomment -216225302

지금은 3.x 버전을 잊어버리자. 모든 버전의 python에서 지원하기 위해 추가해야 하는 상수는 무엇입니까?

다음은 개념 증명입니다. https://github.com/benoitc/gunicorn/pull/1454

특정 다른 버전의 TLS에서 활성화 또는 비활성화할 수 있습니까? 예를 들어, 이전 버전을 비활성화하거나 활성화할 수 있기를 원하는 것이 일반적입니다. 문서에서 "--ssl-version"을 사용하여 이전 버전을 비활성화할 수 있는지 또는 두 번 이상 사용할 수 있는지(예: SSL3 비활성화 및 TLS1.0 비활성화) 명확하지 않습니다.

그 사용 전환이 필요한 것이라고 생각 SSLContext 새로운 옵션을 추가 --ssl-options (우리가 아마 사용 ssl.create_default_context() 은 SSLv3 및 TLS 1.0은 기본적으로 비활성화 할 수 있도록) 때문에이 너무 많은 조합이 --ssl-version 명명된 상수를 허용하지 않을 것이라고 생각하지만 사용자는 여전히 Gunicorn 구성 파일에 넣을 수 있습니다.

ssl_options = ssl.OP_NO_COMPRESSION | ssl.OP_NO_SSLv2 | ssl.OP_NO_SSLv3

프로토콜 _및 정확한 버전_을 모두 지정하기 위해 PROTOCOL_ *를 사용하는 것은 더 이상 사용되지 않는 것 같습니다. ssl_options 가 현재 구현되어 있지 않다고 가정하고 #1680을 올렸습니다.

1890년에 그것을 고쳤습니다.

누군가 나를 위한 지침이 있을 수 있습니까? 나는 잠시 동안 이것으로 고생하고 있습니다. 내 환경은 다음과 같습니다.

Python 3.4.3
gunicorn==19.9.0
pyOpenSSL==18.0.0
cryptography==2.4.2

저도 gunicorn 플래그 --ssl-version 5

내 서버가 TLS 1.2를 제공하는 것 같지만 보안되지 않은 암호 제품군을 많이 허용합니다. 암호 제품군을 어떻게 제한할 수 있습니까? --ciphers 플래그를 시도했지만 운이 없었습니다.

감사!

--ssl-version 5 --ciphers ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256
잘 작동합니다:

~# openssl s_client -connect localhost:443 - 암호 ECDHE-RSA-AES256-GCM-SHA384
연결됨(00000003)
깊이=3...

~# openssl s_client - 로컬 호스트 연결:443 -암호화 DHE-RSA-AES256-GCM-SHA384
연결됨(00000003)
140497569816640: 오류:14094410 :SSL 루틴:ssl3_read_bytes :sslv3 경고 핸드셰이크 실패:../ssl/record/rec_layer_s3.c :1407:SSL 경고 번호 40

@lemrouch 감사합니다. 이전에는 왜 그것이 효과가 없었는지 확실하지 않습니다. 그것은 지금 나를 위해 일하고 있습니다!

gunicorn flask 응용 프로그램에 TLS1.0 대신 TLS 1.2를 사용하는 방법은 무엇입니까? 일부는 넣어야 하는 터미널 명령이나 코드를 공유할 수 있습니까?

@rkbala 이것은 내 플라스크 앱에 대한 관련 코드의 모습입니다.

...
from ssl import SSLContext, PROTOCOL_TLSv1_2, OP_NO_SSLv3, OP_NO_TLSv1, OP_NO_TLSv1_1
...
ssl = SSLContext(PROTOCOL_TLSv1_2)
ssl.set_ciphers('ECDH+AES256:ECDH+AES128:' + 
                '!aNULL:!eNULL:!MD5:!DSS:!RC4:!SSLv2:!SSLv3:!TLSv1')
ssl.options |= OP_NO_SSLv3
ssl.options |= OP_NO_TLSv1
ssl.options |= OP_NO_TLSv1_1
ssl.load_cert_chain('/etc/letsencrypt/live/fullchain.pem',
                    '/etc/letsencrypt/live/privkey.pem')
...
if __name__ == '__main__':
    app.run(host='0.0.0.0', port='443', ssl_context=ssl)

@rkbala 이것은 내 플라스크 앱에 대한 관련 코드의 모습입니다.

...
from ssl import SSLContext, PROTOCOL_TLSv1_2, OP_NO_SSLv3, OP_NO_TLSv1, OP_NO_TLSv1_1
...
ssl = SSLContext(PROTOCOL_TLSv1_2)
ssl.set_ciphers('ECDH+AES256:ECDH+AES128:' + 
                '!aNULL:!eNULL:!MD5:!DSS:!RC4:!SSLv2:!SSLv3:!TLSv1')
ssl.options |= OP_NO_SSLv3
ssl.options |= OP_NO_TLSv1
ssl.options |= OP_NO_TLSv1_1
ssl.load_cert_chain('/etc/letsencrypt/live/fullchain.pem',
                    '/etc/letsencrypt/live/privkey.pem')
...
if __name__ == '__main__':
    app.run(host='0.0.0.0', port='443', ssl_context=ssl)

@pixelrebel 감사합니다!! 해보고 알려드리겠습니다.

이 ssl.options |=OP_NO_*는 무엇을 의미합니까?

암호를 변경할 수 있습니까? 아니면 위의 set_ciphers가 무작위 암호를 설정합니까?

@rkbala 비트 단위 또는 연산이 필요한 이유를 기억할 수 없습니다. 필요하지 않을 수도 있습니다. 테스트할 가치가 있습니다.

TLS 1.2와 호환되는 암호로 변경할 수 있습니다. 제 경우에는 앱에서 Slack과 통신할 수 있는 API를 제공합니다. 그래서 Slackbot이 사용하는 암호를 지원하기만 하면 되었습니다.

@rkbala IO는 내가 그 구문이 필요한 이유를 기억하지 못한다는 점을 분명히 해야 하지만 당시에는 내 앱이 TLS1.2만 사용하고 더 낮은 버전은 사용하지 않도록 하기 위해 OP_NO_* 옵션을 명시적으로 지정해야 했습니다.

@rkbala 비트 단위 또는 연산이 필요한 이유를 기억할 수 없습니다. 필요하지 않을 수도 있습니다. 테스트할 가치가 있습니다.

TLS 1.2와 호환되는 암호로 변경할 수 있습니다. 제 경우에는 앱에서 Slack과 통신할 수 있는 API를 제공합니다. 그래서 Slackbot이 사용하는 암호를 지원하기만 하면 되었습니다.

알겠습니다. 감사합니다. 지정하지 않으면 gunicorn이 기본 파이썬 암호를 사용한다고 생각합니다. 내가 틀렸다면 정정하십시오.

또한 위의 플라스크 코드는 gunicorn이 TLSv1.2에서만 플라스크 앱을 시작하도록 합니까? 질문은 gunicorn을 통해 플라스크 앱을 실행하고 싶기 때문입니다. 나는 오늘 gunicorn 터미널 명령 "gunicorn —ssl-version TLSV1_2 project:app "이 tls v1.2에서 플라스크 앱을 시작한다는 것을 배웠습니다. 어떤 방법이 더 효율적입니까?

예, TLS 1.2만 수행합니다. 다른 모든 것은 AFAIK에서 더 이상 사용되지 않습니다. 동일한 효과가 있다고 가정하지만 명령줄 옵션을 사용하면 스크립트의 옵션이 무시됩니다. 나는 결코 gunicorn의 전문가가 아닙니다. 그러니 내 충고를 한 알의 소금으로 받아들이십시오.

예, TLS 1.2만 수행합니다. 다른 모든 것은 AFAIK에서 더 이상 사용되지 않습니다. 동일한 효과가 있다고 가정하지만 명령줄 옵션을 사용하면 스크립트의 옵션이 무시됩니다. 나는 결코 gunicorn의 전문가가 아닙니다. 그러니 내 충고를 한 알의 소금으로 받아들이십시오.

@pixelrebel 감사합니다. 그 부분에 대해 알아보겠습니다.