[OPENSSL] problem sni after update google chrome browser

problem sni after update google chrome browser

 

증상

• 단일 서버(openssl+apache) 구동중
• 다수의 도메인이 설정되어 있으며, 각 도메인에는 SSL인증서가 적용되어 있음
• 여러 도메인이 443포트를 같이 사용중 (by SNI)
• 크롬 업데이트 후 설정상 가장 첫도메인을 제외한 나머지 도메인의 “https://”연결이 되지 않음
• 크롬 오류 메세지 : ERR_SSL_PROTOCOL_ERROR

 

 

브라우저

• Google Chrome
• Version : 117.0.5938.132
• Date : 2023.09.27(??)
• 이전 버전의 크롬에서는 문제가 발생하지 않음
• 그 외 엣지, 파이폭스 등의 브라우저에서는 문제가 발생하지 않음

 

 

서버

• OS : RHEL6
• openssl : openssl-1.0.1e-30.el6.8.x86_64

 

 

참고

• RHEL6 : https://bugzilla.redhat.com/show_bug.cgi?id=1150032
• RHEL7 : https://bugzilla.redhat.com/show_bug.cgi?id=1150033

 

 

업데이트

• 해결버전 : openssl-1.0.1e-34.el6
• RHEL6 의 경우 이미 지원이 종료되었으나
• 종료전 마지막 버전 openssl-1.0.1e-58.el6_10.x86_64 으로 패치

 

 

 

패치 전

openssl s_client -connect after_2nd_domain:443 -cipher DEFAULT@SECLEVEL=0
(...)
No client certificate CA names sent
Peer signing digest: SHA1
Peer signature type: RSA
Server Temp Key: ECDH, prime256v1, 256 bits
(...)

 

 

패치 후

openssl s_client -connect after_2nd_domain:443 -cipher DEFAULT@SECLEVEL=0
(...)
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA
Server Temp Key: ECDH, prime256v1, 256 bits
(...)