私が働いている組織には、Linuxを実行しているサーバーがたくさんあります。
私たちは最近、アプリケーションが作成された開発プラットフォーム(Ruby / Node / Java / PHP)に関係なく、すべてのアプリケーションのすべてのアウトバウンド接続にTLS 1.2を使用することを義務付けられました。
すべてがシステムレベルでTLS 1.2を使用するように強制する方法はありますか?
答え1
システム全体で?いいえ、Linuxには(意図的に)集中型TLS設定がないため、最も重要なことは、おそらく各システムに少なくとも2つのTLS実装があることです(確かにOpenSSLまたはLibreSSL、そしてほとんどの場合GnuTLS)。
残念ながら、ここではすべてを監査することが唯一の実際のオプションです。ただし、特定の開発プラットフォームのコンテンツを確認したら、そのプラットフォームの他のアプリケーションを確認することが非常に簡単になります(これで動作する接続設定の順序がわかります)。
答え2
特定のサービスへの特定の接続がある場合は、TLSv1.2以下のエントリが拒否されるように設定できる設定がある可能性があります。
しかし、システム全体ではそうすることはできません。ただし、汎用システム(デスクトップ、サーバーなど)では機能しません。 TLSサービスに接続する各コードスニペットは、システム内の多くの共有ライブラリの1つを使用でき、独自の共有ライブラリを使用でき、静的リンクを使用したり、コードでコンパイルできます。
ただし、サーバーがTLSv1.2接続のみを許可することを確認する必要がある場合は、すべてのサービスエンドポイント(通常はWebサーバー)を制御するため、確実にこれを行うことができます。