Prüfen auf TLSv1.2 bei LWP (https) (gelöst) (Netzwerkprogrammierung und Netzwerke mit Perl)

[thread]18689[/thread]

Prüfen auf TLSv1.2 bei LWP (https) [gelöst]

Tags: perl5 LWP socket SSL Ähnliche Threads

Leser: 12

Articles: hide open all | hide show old branches

+5 replies
thecoder2012

2013-10-20 07:02
User since
2013-02-04
64 Artikel
BenutzerIn
Hallo,

ich habe das Problem wie ich TLSv1.2 bei LWP überprüfen kann.
~~Kennt jemand dazu eine Möglichkeit?~~
EDIT: Aktueller Cipher wird in den Header für LWP geschrieben.

Code um nur TLSv1.2 mit LWP zu erlauben:
Code (perl): (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

#use LWP::Simple qw($ua get) use LWP::UserAgent; #$ENV{PERL_NET_HTTPS_SSL_SOCKET_CLASS} = "IO::Socket::SSL"; #use IO::Socket::SSL; IO::Socket::SSL::set_defaults(SSL_cipher_list => "AES256-SHA256:!AES256-SHA"); #Curl => http://curl.haxx.se/libcurl/c/curl_easy_setopt.html#CURLOPTSSLVERSION my $ua = LWP::UserAgent->new( ssl_opts => { SSL_version => 'TLSv12:!SSLv2:!SSLv3:!TLSv1:!TLSv11',#only 1 protocol without ! verify_hostname => 0,#$ENV{'PERL_LWP_SSL_VERIFY_HOSTNAME'} = 0; (CURLOPT_SSL_VERIFYHOST) SSL_verify_mode => SSL_VERIFY_NONE #(CURLOPT_SSL_VERIFYPEER ) } ); $ua->timeout(10); #$ua->ssl_opts(SSL_version => 'TLSv12:!SSLv2:!SSLv3:!TLSv1:!TLSv11'); #print LWP::UserAgent->new()->request(HTTP::Request->new(GET=>"https://www.perl-community.de/"))->content;' my $response = $ua->get('https://www.perl-community.de/'); if($response->is_success){ print $response->decoded_content; }else{ die $response->status_line; }
Ich fande keine Möglichkeit entweder die SSL_version oder die Cipher abzufragen. Siehe auch http://www.openssl.org/docs/apps/ciphers.html#CIPH...

Beispiel mit IO::Socket::SSL um den Cipher zu erfahren:
Code (perl): (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

use IO::Socket::SSL; my $client = IO::Socket::SSL->new( PeerAddr => 'www.perl-community.de',#AES256-SHA = TLSv1 (1.0) PeerPort => '443', Proto => 'tcp', SSL_verify_mode => 0,#0x00? SSL_version => 'TLSv12:!SSLv2:!SSLv3:!TLSv1:!TLSv11' #best is TLSv12 ); if(defined $client){ #print $client->get_cipher() . "\n";#list => http://www.openssl.org/docs/apps/ciphers.html#CIPHER_STRINGS print $client "GET / HTTP/1.0\r\n\r\n"; print <$client>; close $client; }else{ warn "I encountered a problem: ",IO::Socket::SSL::errstr(); } exit;
Möchte es möglichst mit LWP realisieren um nicht auf andere Module (low level) bzw. Libs wie Curl ausweichen zu müssen.
Zertifikate prüfe ich normal auch aber für den Test nicht sinnvoll. Habe meine Browser sowieso schon auf nur TLSv1.2 und höher eingestellt.

Hinweis: Die Beispiele funktionieren einwandfrei. Einfach perl-community.de gegen google.de als Beispiel tauschen.

Das zweite Problem ist das perl-community.de nur TLSv1 kann. Mag einer mal den Apache/mod_ssl aktualisieren? TLSv1.2 wird in aktuellen Versionen von Apache, nginx und Lighttpd unterstützt. Viele nutzen noch TLSv1 only. Bei Banken finde ich es allerdings bedenklich. Siehe http://www.kuketz-blog.de/nsa-abhoersichere-ssl-ve...
Ich fühle mich sonst nicht mehr sicher in diesem Forum!
Last edited: 2013-10-20 15:41:25 +0200 (CEST)
- +2 replies
- bianca
  
  2013-10-20 08:42
  
  User since
  2009-09-13
  6977 Artikel
  BenutzerIn
  
  2013-10-20T05:02:55 thecoder2012
  Ich fühle mich sonst nicht mehr sicher in diesem Forum!
  
  Hat tatsächlich keine besonders hohe Wertung:
  https://www.ssllabs.com/ssltest/analyze.html?d=per...
  
  Aber ist das nicht etwas übertrieben für ein Forum?
  Andere Foren haben nicht einmal TSL 1. Benutzt du die nicht?
  10 print "Hallo"
  20 goto 10
  - thecoder2012
    
    2013-10-20 10:46
    
    User since
    2013-02-04
    64 Artikel
    BenutzerIn
    
    Quote
    Aber ist das nicht etwas übertrieben für ein Forum?
    
    Nein. Wenn man anfängt Ausnahmen dauerhaft zu tolerieren, dann kann man es auch unverschlüsselt übertragen. Allgemein bin ich auch nur begrenzt für Updates aber in dem Fall wäre es wohl gut. Vielleicht etwas Paranoid aber das ist auch gut so.
    
    Quote
    Andere Foren haben nicht einmal TSL 1. Benutzt du die nicht?
    
    Naja allgemein dürfte das an der hohen Verbreitung der alten Versionen von Apache liegen. Ich wusste bis vor wenigen Tagen nicht das die Technik TLSv1 noch so weit verbreitet ist.
    
    Hab zumindestens an die kritischen Stellen (Banken, Kreditkarte, Serveranbieter usw.) jeweils eine Beschwerde übersendet. Die Mehrheit wird wohl einfach ein Update durchführen.
- +2 replies
- GwenDragon
  
  2013-10-20 13:22
  
  User since
  2005-01-17
  14533 Artikel
  Admin1
  
  Zu deinem Test: Schau mal in die Source von LWP::Protocol::https, da gibts _get_sock_info() in dem m. E. die Ciphers abgefragt werden können.
  
  Zur Sicherheit im Forum:
  Der Umstieg auf TLS 1.2 wird bald durchgeführt. Der Loadbalancer muss dazu angepasst werden.
  //EDIT: ich habs ein bisschen sicherer gemacht, jedenfalls ist https://www.ssllabs.com/ssltest/analyze.html?d=per... jetzt besser geworden.
  Last edited: 2013-10-20 14:00:02 +0200 (CEST)
  die Drachin, Gwendolyn
  
  Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel
  - thecoder2012
    
    2013-10-20 15:40
    
    User since
    2013-02-04
    64 Artikel
    BenutzerIn
    
    2013-10-20T11:22:27 GwenDragon
    Zu deinem Test: Schau mal in die Source von LWP::Protocol::https, da gibts _get_sock_info() in dem m. E. die Ciphers abgefragt werden können.
    
    Danke für den Hinweis. Hab mir die Funktion gerade mal näher angeschaut. Ich brauche ja nur den aktuell genutzten Cipher und der wird in den Header geschrieben vom Modul. Hatte den Header gar nicht näher angeschaut. Alles andere kann man anhand der Liste von OpenSSL ja berechnen bzgl. Sicherheit.
    
    Quote
    //EDIT: ich habs ein bisschen sicherer gemacht, jedenfalls ist https://www.ssllabs.com/ssltest/analyze.html?d=per... jetzt besser geworden.
    
    Super! Ich fühl mich direkt etwas sicherer. :-)

View all threads created 2013-10-20 07:02.