Title: Starke SSL/TLS-Verschlüsselung: Kompatibilität
Alle PCs sind kompatibel. Einige sind aber kompatibler als andere.
-- Unbekannt
Dieser Abschnitt befasst sich mit der Abwärtskompatibilität zu anderen
SSL-Lösungen. Wie Sie vielleicht wissen, ist mod_ssl nicht die
einzige SSL-Lösung für den Apache. Es sind noch vier weitere wichtige Produkte
verfügbar: Das kostenlose Apache-SSL
von Ben Laurie (von dem mod_ssl im Jahre 1998 abgeleitet
wurde), das kommerzielle
Secure Web Server von der Firma Red Hat (das auf
mod_ssl basiert), das kommerzielle Raven SSL Module von der Firma Covalent
(das auch auf mod_ssl basiert) und das kommerzielle
Produkt Stronghold von der
Firma C2Net (welches bis zur Version Stronghold 2.x auf einem unterschiedlichen
Entwicklungszweig mit der Bezeichnung Sioux basierte und seit der Version 3.0 auf
mod_ssl basiert).
Weil mod_ssl
eine Obermenge der Funktionalität fast aller anderen Lösungen enthält, kann
Abwärtskompatibilität in fast allen Fällen problemlos gewährleistet werden.
Drei Kompatibilitätsbereiche stehen zur Zeit im Vordergrund:
Konfigurationsdirektiven, Umgebungsvariablen und eigene
Protokollfunktionen.
Um Abwärtskompatibilität zu den Konfigurationsdirektiven anderer
SSL-Lösungen zu gewährleisten, wird eine Zuordnung vorgenommen: Direktiven,
für die es eine direkte mod_ssl-Entsprechnung gibt, werden
stillschweigend zugeordnet, während andere Direktiven zu einer Warnung in der
Protokolldatei führen. Tabelle 1 listet die derzeitigen
Direktivenzuordnungen auf. Eine vollständige Abwärtskompatibilität bieten zur
Zeit nur die Apache-Versionen SSL 1.x und mod_ssl 2.0.x.
Die Kompatibilität zu Sioux 1.x und Stronghold 2.x wird infolge spezieller
Funktionalität dieser Schnittstellen, die mod_ssl (noch) nicht
anbietet, nur partiell erreicht.
| Alte Direktive | mod_ssl-Direktive | Kommentar |
|---|---|---|
Apache-SSL 1.x & mod_ssl 2.0.x-Kompatibilität: | ||
SSLEnable | SSLEngine on | zusammengefasst |
SSLDisable | SSLEngine off | zusammengefasst |
SSLLogFile Datei | SSLLog Datei | zusammengefasst |
SSLRequiredCiphers Spezifikation | SSLCipherSuite Spezifikation | umbenannt |
SSLRequireCipher c1 ... | SSLRequire %{SSL_CIPHER} in {"c1",
...} | verallgemeinert |
SSLBanCipher c1 ... | SSLRequire not (%{SSL_CIPHER} in {"c1",
...}) | verallgemeinert |
SSLFakeBasicAuth | SSLOptions +FakeBasicAuth | vermischt |
SSLCacheServerPath Verz | - | Funktionalität entfernt |
SSLCacheServerPort integer | - | Funktionalität entfernt |
| Apache-SSL 1.x-Kompatibilität: | ||
SSLExportClientCertificates | SSLOptions +ExportCertData | vermischt |
SSLCacheServerRunDir Verz | - | Funktionalität nicht unterstützt |
| Sioux 1.x-Kompatibilität: | ||
SSL_CertFile Datei | SSLCertificateFile Datei | umbenannt |
SSL_KeyFile Datei | SSLCertificateKeyFile Datei | umbenannt |
SSL_CipherSuite Argument | SSLCipherSuite Argument | umbenannt |
SSL_X509VerifyDir Argument | SSLCACertificatePath Argument | umbenannt |
SSL_Log Datei | SSLLogFile Datei | umbenannt |
SSL_Connect Flag | SSLEngine Flag | umbenannt |
SSL_ClientAuth Argument | SSLVerifyClient Argument | umbenannt |
SSL_X509VerifyDepth Argument | SSLVerifyDepth Argument | umbenannt |
SSL_FetchKeyPhraseFrom Argument | - | nicht zuzuordnen, benutzen Sie SSLPassPhraseDialog |
SSL_SessionDir Verz | - | nicht zuzuordnen, benutzen Sie SSLSessionCache |
SSL_Require Ausdruck | - | nicht zuzuordnen, benutzen Sie SSLRequire |
SSL_CertFileType Argument | - | Funktionalität nicht unterstützt |
SSL_KeyFileType Argument | - | Funktionalität nicht unterstützt |
SSL_X509VerifyPolicy Argument | - | Funktionalität nicht unterstützt |
SSL_LogX509Attributes Argument | - | Funktionalität nicht unterstützt |
| Stronghold 2.x-Kompatibilität: | ||
StrongholdAccelerator Verz | - | Funktionalität nicht unterstützt |
StrongholdKey Verz | - | Funktionalität nicht unterstützt |
StrongholdLicenseFile Verz | - | Funktionalität nicht unterstützt |
SSLFlag Flag | SSLEngine Flag | umbenannt |
SSLSessionLockFile Datei | SSLMutex Datei | umbenannt |
SSLCipherList Spezifikation | SSLCipherSuite Spezifikation | umbenannt |
RequireSSL | SSLRequireSSL | umbenannt |
SSLErrorFile Datei | - | Funktionalität nicht unterstützt |
SSLRoot Verz | - | Funktionalität nicht unterstützt |
SSL_CertificateLogDir Verz | - | Funktionalität nicht unterstützt |
AuthCertDir Verz | - | Funktionalität nicht unterstützt |
SSL_Group name | - | Funktionalität nicht unterstützt |
SSLProxyMachineCertPath Verz | - | Funktionalität nicht unterstützt |
SSLProxyMachineCertFile Datei | - | Funktionalität nicht unterstützt |
SSLProxyCACertificatePath Verz | - | Funktionalität nicht unterstützt |
SSLProxyCACertificateFile Datei | - | Funktionalität nicht unterstützt |
SSLProxyVerifyDepth Zahl | - | Funktionalität nicht unterstützt |
SSLProxyCipherList Spezifikation | - | Funktionalität nicht unterstützt |
Bei Verwendung von SSLOptions +CompatEnvVars
werden zusätzliche Umgebungsvariablen erzeugt. Sie entsprechen alle
offiziellen mod_ssl-Variablen.
Tabelle 2 führt alle zur Zeit implementierten
Variablenableitungen auf.
| Alte Variable | mod_ssl-Variable | Kommentar |
|---|---|---|
SSL_PROTOCOL_VERSION | SSL_PROTOCOL | umbenannt |
SSLEAY_VERSION | SSL_VERSION_LIBRARY | umbenannt |
HTTPS_SECRETKEYSIZE | SSL_CIPHER_USEKEYSIZE | umbenannt |
HTTPS_KEYSIZE | SSL_CIPHER_ALGKEYSIZE | umbenannt |
HTTPS_CIPHER | SSL_CIPHER | umbenannt |
HTTPS_EXPORT | SSL_CIPHER_EXPORT | umbenannt |
SSL_SERVER_KEY_SIZE | SSL_CIPHER_ALGKEYSIZE | umbenannt |
SSL_SERVER_CERTIFICATE | SSL_SERVER_CERT | umbenannt |
SSL_SERVER_CERT_START | SSL_SERVER_V_START | umbenannt |
SSL_SERVER_CERT_END | SSL_SERVER_V_END | umbenannt |
SSL_SERVER_CERT_SERIAL | SSL_SERVER_M_SERIAL | umbenannt |
SSL_SERVER_SIGNATURE_ALGORITHM | SSL_SERVER_A_SIG | umbenannt |
SSL_SERVER_DN | SSL_SERVER_S_DN | umbenannt |
SSL_SERVER_CN | SSL_SERVER_S_DN_CN | umbenannt |
SSL_SERVER_EMAIL | SSL_SERVER_S_DN_Email | umbenannt |
SSL_SERVER_O | SSL_SERVER_S_DN_O | umbenannt |
SSL_SERVER_OU | SSL_SERVER_S_DN_OU | umbenannt |
SSL_SERVER_C | SSL_SERVER_S_DN_C | umbenannt |
SSL_SERVER_SP | SSL_SERVER_S_DN_SP | umbenannt |
SSL_SERVER_L | SSL_SERVER_S_DN_L | umbenannt |
SSL_SERVER_IDN | SSL_SERVER_I_DN | umbenannt |
SSL_SERVER_ICN | SSL_SERVER_I_DN_CN | umbenannt |
SSL_SERVER_IEMAIL | SSL_SERVER_I_DN_Email | umbenannt |
SSL_SERVER_IO | SSL_SERVER_I_DN_O | umbenannt |
SSL_SERVER_IOU | SSL_SERVER_I_DN_OU | umbenannt |
SSL_SERVER_IC | SSL_SERVER_I_DN_C | umbenannt |
SSL_SERVER_ISP | SSL_SERVER_I_DN_SP | umbenannt |
SSL_SERVER_IL | SSL_SERVER_I_DN_L | umbenannt |
SSL_CLIENT_CERTIFICATE | SSL_CLIENT_CERT | umbenannt |
SSL_CLIENT_CERT_START | SSL_CLIENT_V_START | umbenannt |
SSL_CLIENT_CERT_END | SSL_CLIENT_V_END | umbenannt |
SSL_CLIENT_CERT_SERIAL | SSL_CLIENT_M_SERIAL | umbenannt |
SSL_CLIENT_SIGNATURE_ALGORITHM | SSL_CLIENT_A_SIG | umbenannt |
SSL_CLIENT_DN | SSL_CLIENT_S_DN | umbenannt |
SSL_CLIENT_CN | SSL_CLIENT_S_DN_CN | umbenannt |
SSL_CLIENT_EMAIL | SSL_CLIENT_S_DN_Email | umbenannt |
SSL_CLIENT_O | SSL_CLIENT_S_DN_O | umbenannt |
SSL_CLIENT_OU | SSL_CLIENT_S_DN_OU | umbenannt |
SSL_CLIENT_C | SSL_CLIENT_S_DN_C | umbenannt |
SSL_CLIENT_SP | SSL_CLIENT_S_DN_SP | umbenannt |
SSL_CLIENT_L | SSL_CLIENT_S_DN_L | umbenannt |
SSL_CLIENT_IDN | SSL_CLIENT_I_DN | umbenannt |
SSL_CLIENT_ICN | SSL_CLIENT_I_DN_CN | umbenannt |
SSL_CLIENT_IEMAIL | SSL_CLIENT_I_DN_Email | umbenannt |
SSL_CLIENT_IO | SSL_CLIENT_I_DN_O | umbenannt |
SSL_CLIENT_IOU | SSL_CLIENT_I_DN_OU | umbenannt |
SSL_CLIENT_IC | SSL_CLIENT_I_DN_C | umbenannt |
SSL_CLIENT_ISP | SSL_CLIENT_I_DN_SP | umbenannt |
SSL_CLIENT_IL | SSL_CLIENT_I_DN_L | umbenannt |
SSL_EXPORT | SSL_CIPHER_EXPORT | umbenannt |
SSL_KEYSIZE | SSL_CIPHER_ALGKEYSIZE | umbenannt |
SSL_SECKEYSIZE | SSL_CIPHER_USEKEYSIZE | umbenannt |
SSL_SSLEAY_VERSION | SSL_VERSION_LIBRARY | umbenannt |
SSL_STRONG_CRYPTO | - | Von mod_ssl nicht unterstützt |
SSL_SERVER_KEY_EXP | - | Von mod_ssl nicht unterstützt |
SSL_SERVER_KEY_ALGORITHM | - | Von mod_ssl nicht unterstützt |
SSL_SERVER_KEY_SIZE | - | Von mod_ssl nicht unterstützt |
SSL_SERVER_SESSIONDIR | - | Von mod_ssl nicht unterstützt |
SSL_SERVER_CERTIFICATELOGDIR | - | Von mod_ssl nicht unterstützt |
SSL_SERVER_CERTFILE | - | Von mod_ssl nicht unterstützt |
SSL_SERVER_KEYFILE | - | Von mod_ssl nicht unterstützt |
SSL_SERVER_KEYFILETYPE | - | Von mod_ssl nicht unterstützt |
SSL_CLIENT_KEY_EXP | - | Von mod_ssl nicht unterstützt |
SSL_CLIENT_KEY_ALGORITHM | - | Von mod_ssl nicht unterstützt |
SSL_CLIENT_KEY_SIZE | - | Von mod_ssl nicht unterstützt |
Wird mod_ssl in den Apache eingebunden oder nur
geladen (unter DSO), dann gibt es zusätzliche Funktionen für das
Angepasste Protokollformat
von
%{varname}x-Erweiterungsfunktion,
mit der von einem beliebigen Modul bereitgestellte Variablen expandiert werden
können, gibt es aus Gründen der Abwärtskompatibilität die Kryptografiefunktion
%{name}c. Zur Zeit sind die
Tabelle 3 aufgeführten Aufrufe implementiert.
| Funktionsaufruf | Beschreibung |
|---|---|
%...{version}c | SSL-Protokollversion |
%...{cipher}c | SSL-Verschlüsselungsalgorithmus |
%...{subjectdn}c | Distinguished Name des Subjekts des Clientzertifikats |
%...{issuerdn}c | Distinguished Name des Ausstellers des Clientzertifikats |
%...{errcode}c | Zertifikatüberprüfungsfehler (numerisch) |
%...{errstr}c | Zertifikatüberprüfungsfehler (Zeichenfolge) |
--------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
