¿Cómo actualizar OpenSSL 1.1.0 a 1.1.1 en Ubuntu 18.04?

17

He estado ejecutando un servidor de producción con Ubuntu 18 instalado. Recientemente, descubrí que mi aplicación web no estaba permitida en algunos de los firewalls instalados en la ubicación del cliente.

Descubrí que mi servidor se está comunicando en TLSv1.0, TLSv1.1, TLSv1.2protocolos, supongo que la configuración del firewall está permitiendo la comunicación con el servidor TLSv1.3solo en el protocolo.

Como se incluye Ubuntu 18 OpenSSL version 1.1.0, y para hacer que el servidor sea compatible TLS v1.3, tengo que actualizar OpenSSL, version 1.1.1que es la última.

Como se trata de un servidor de producción que ejecuta un nginxservidor, no quiero probar nada directamente en el servidor.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

¿Cuál es la mejor manera de actualizar OpenSSL a v1.1.1 sin alterar ninguna otra configuración del servidor?

dólar
fuente
2
Para su información: »OpenSSL 1.1.1 SRU en Bionic« lists.ubuntu.com/archives/ubuntu-devel/2018-Diciembre/... Mientras tanto, hable con el contacto respectivo que está a cargo de la configuración del firewall, solicite requisitos / recomendaciones / exenciones. Dudo que sea el único que ejecute 18.04 y tenga este problema, ni creo que el problema no sea compatible con TLS 1.3 en este momento, ya que todavía es bastante nuevo y, contrariamente a su afirmación, leí que todavía causa problemas con algunos middleboxes, pero no lo descubrirá si no pregunta.
LiveWireBT
2
La actualización no será posible hasta que esa SRU pase. Hay demasiadas cosas que dependen de OpenSSL para hacer la actualización usted mismo, porque podría romperlo todo.
Thomas Ward
1
finalmente bugs.launchpad.net/ubuntu/+source/openssl/+bug/1797386 está en progreso ahora
Tino

Respuestas:

34

NOTA : A partir de ~ agosto de 2019, openSSL 1.1.1 debería estar disponible para la instalación a través de actualizaciones / instalaciones de paquetes normales para 18.04. O bien, puede descargar el paquete .deb directamente desde aquí .


Según el sitio web de OpenSSL :

La última versión estable es la serie 1.1.1. Esta es también nuestra versión de soporte a largo plazo (LTS), compatible hasta el 11 de septiembre de 2023.

Como esto no se encuentra en los repositorios actuales de Ubuntu, deberá descargar, compilar e instalar la última versión de OpenSSL manualmente.

A continuación se encuentran las instrucciones a seguir:

  1. Abrir una terminal ( Ctrl+ Alt+ t).
  2. Trae el tarball: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Desempaquete el tarball con tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Emita el comando ./config.
  5. Emita el comando make(es posible que deba ejecutarlo sudo apt install make gccantes de ejecutar este comando correctamente).
  6. Ejecute make testpara verificar posibles errores.
  7. Copia de seguridad actual openssl binario: sudo mv /usr/bin/openssl ~/tmp
  8. Emita el comando sudo make install.
  9. Cree un enlace simbólico desde el binario recién instalado a la ubicación predeterminada:
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
    
  10. Ejecute el comando sudo ldconfigpara actualizar enlaces simbólicos y reconstruir el caché de la biblioteca.

Suponiendo que no hubo errores al ejecutar los pasos 4 a 10, debería haber instalado con éxito la nueva versión de OpenSSL.

Nuevamente, desde el terminal emite el comando:

openssl version

Su salida debe ser la siguiente:

OpenSSL 1.1.1a  20 Nov 2018
Kevin Bowen
fuente
1
Con respecto a "A partir de ~ junio de 2019, openSSL 1.1.1 debería estar disponible para la instalación a través de actualizaciones / instalaciones de paquetes normales": Simplemente no tenga en cuenta que este no parece ser el caso en Ubuntu 18.04 (al menos en las dos máquinas que probé ) ...
logidelic
@logidelic Interesante. Gracias por señalar eso. Tomaré nota de eso. Mis sistemas principales son 19.04 y tengo un par de derivados (Mint) basados ​​en biónico (18.04) que ya han recibido backports. Aparentemente, launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1~18.04.4 todavía solo puede ser 'propuesto' 'o disponible como fuente en 18.04. No estoy realmente seguro del estado.
Kevin Bowen
Trabajó en Debian Jessie también. Se utiliza 1.1.1c ya que esta es la misma versión en Buster.
Rudolf Vavruch