ChaCha20-Poly1305 unter Debian 9?

  • Hallo,


    ich besitze einen Debian 9 Rootserver, habe OpenSSL 1.1.0. Alle modernen TLS 1.2 Cipher Suiten sind aktiv, außer die beiden, die ChaCha20 nutzen:


    ECDHE-ECDSA-CHACHA20-POLY1305

    ECDHE-RSA-CHACHA20-POLY1305


    Konnte jemand erfolgreich diese beiden aktivieren? Der Server hat ein ECDSA-/RSA-Zertifikat, die Cipher Suiten sind auch in der Konfiguration eingetragen. Meiner Meinung nach sollten also alle Voraussetzungen erfüllt sein. :/

  • Bei mir funktioniert CHACHA20 einwandfrei, es kommt immer auf die Softwarepakete an, mit welcher Version von OpenSSL oder LibreSSL kompiliert wurden. Wobei die Softwarepakete von Debian 9 schon CHACHA20-tauglich sind.

    Ich weiß allerdings nicht, wie deine Configs aussehen. Wolltest du über nginx oder Apache die Verbindung mit CHACHA20 nutzen? oder Postfix? oder Dovecot?

  • Oh, vergessen …

    Apache-Webserver 2.4.x, OpenSSL 1.1.0. Alle anderen Cipher-Suites aus der Mozilla Modern-Compatibility funktionieren, nur die beiden mit ChaCha20-Poly1305 nicht.

    Alle Cipher-Suites sind normal über SSLCipherSuite definiert.

  • Problem wohl gefunden:


    ldd /usr/lib/apache2/modules/mod_ssl.so

    libssl.so.1.0.2 => /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 (…)

    libcrypto.so.1.0.2 => /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.2 (…)


    Da sollten libssl/libcrypto 1.1 stehen. Es ist auch nur OpenSSL 1.1.0 installiert. Ohne Neukompilieren von Apache wird das nichts. Die Stretch-Version von Apache nutzt noch kein OpenSSL 1.1, nur die unstable …

  • Oh, tatsächlich. Ich hätte echt gedacht, dass die Softwarepakete von Stretch soweit mit OpenSSL 1.1.0 kompiliert wurden. Wahrscheinlich ist Apache das einzige Softwarepaket von Stretch ohne OpenSSL 1.1.0.

    Bei mir funktionieren nginx, postfix und dovecot mit CHACHA20 ohne Probleme, und das aus der Source von Stretch.