SoftEther VPN User Forum

SoftEther VPN User Forum
https://forum.softether.org/

SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法

https://forum.softether.org/viewtopic.php?f=15&t=68922

Page 1 of 1

SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法

Posted: Wed Mar 13, 2024 7:43 am
by sbtmgrp
ご多忙のところ、すみません。
SoftEtherを利用するにあたりTLS1.0と1.1TLSをDisableにしたく
vpn_server.configファイル上で

     bool Tls_Disable1_0 true
bool Tls_Disable1_1 true
bool Tls_Disable1_2 false
bool Tls_Disable1_3 false

と設定して対応しました。
しかし、TLS1.0とTLS1.1の設定がDisableになっていないというSecurityの診断結果となりました。
どの様に設定すればSoftEther上でTLS1.0とTLS1.1をDisableに出来るかご教授いただけますと助かります。

利用しているOS Linux Debianのバージョンは12.5、Softetherのバージョンは4.43 です。

宜しくお願いいたします。

Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法

Posted: Wed Mar 13, 2024 10:08 am
by cedar
手元でテストしてみた限りでは、下記のように正常に接続が拒否されているように見えます。

>openssl s_client --connect 127.0.0.1:5555 --tls1
CONNECTED(00000004)
42949672976:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1562:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 104 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1710324472
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---

Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法

Posted: Thu Mar 14, 2024 9:27 am
by sbtmgrp
ご返信をありがとうございます。

私側のSoftEtherでもTLS1.0とTLS1.1の通信確認テストの実施を想定。
その方法はご教示いただきました
Host ServerのLinux OSから127.0.0.1のloopback addressと、SoftEther VPN (Ethernet over HTTPS)のTCP port number 5555を利用した
>openssl s_client --connect 127.0.0.1:5555 --tls1
を実行予定です。

結果を後ほど共有させてください。
よろしくお願いいたします。

Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法

Posted: Fri Mar 15, 2024 1:49 am
by sbtmgrp
私共のLinux OSから

>openssl s_client --connect 127.0.0.1:5555 --tls1

のコマンドを実行。
添付写真の結果となりました。

表示されたlogの内容を検証したところ、ご教示いただきました
TLS1.0とTLS1.1がDisableとなっている内容と同じステータスであると判断しております。

その判断に相違がある際はご教授いただけますと助かります。

宜しくお願い致します。

Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法

Posted: Fri Mar 15, 2024 10:44 am
by cedar
このコマンドは TLS 1.0 で接続するコマンドですが、同様に --tls1_1、--tls1_2、--tls1_3 で
TLS 1.1、TLS 1.2、TLS 1.3 で接続してみることができます。

接続に成功すれば、ネゴシエーションに関連するもっと長いデータが表示され、送信するデータの入力待ちになるので区別できます。
TLS 1.2、TLS 1.3 だけで接続が成功するようになっていれば、意図した通りの動作かと思います。

Re: SoftEtherにおけるTLS1.0とTLS1.1をDisableにする方法

Posted: Tue Mar 26, 2024 4:05 am
by sbtmgrp
ご教授ありがとうございます。

openssl s_client --connect 127.0.0.1:5555 --tls1_1
openssl s_client --connect 127.0.0.1:5555 --tls1_2
openssl s_client --connect 127.0.0.1:5555 --tls1_3

のコマンドを実行。

TLS 1.1のlogはTLS1.0 と同様の結果。

TLS1.2とTLS1.3のlog上に "Certificate chain"、"Server certificate"が表示され
"SSL-Session:"においては "Cipher", "Session-ID", "Master-Key"等の情報が提示。

これらのlogの結果によりTLS1.0とTLS1.1はDisableになっており
TLS1.2とTLS1.3がEnableと判断いたしました。

ありがとうございました。
All times are UTC
Page 1 of 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/