TLS 1.0 és 1.1 napra pontosan megállt

Sziasztok!

Engedjétek meg, hogy megosszam a mai tapasztalataimat SSL, TLS ügyileg.

Megállt. Webes része megy, Chrome megy, http naplóban látszik minden ok. API fgv-ek nem jönnek be a szerverre. Nyomát se látom, hogy valaki küldene valamit (apache access + error). Utolsó sikeres log-ok 2 napja, hajnali 4 órakor. Szinte minden szerveren. WTF? Kínomban csináltam egy .NET-es klienst, mert nem hittem el hogy a túloldalon valami hiba van. És volt...

Kiderült, hogy TLS1.1-gyel nem lehet csatlakozni. TLS1.2-re átállva (.NET: ServicePointManager.SecurityProtocol = (SecurityProtocolType)3072;) minden megy. Ígérték valamikor, hogy a TLS 1.1 deprecated meg meg is fog állni, de gondoltam, majd új szervereknél CentOS7 (vagy 8) így megy fel. De meglévő szervernél? Ki nyúlt bele? És éppen 4h-kor? Mi van 4 órakor? certbot renew > /dev/null van. Log szerint nem renew-olt semmit. De mégis...

certbot telepít egy ssl.conf-ot, amely a "saját" ssl.conf után "fut le" és abban (meglévő szerverre!) betelepítettek egy beállításhalmazt, ami megölte a TLS1.1-et.

0. Igen, én voltam a figyelmetlen devops, aki pont koronavírs idején hagyta figyelmen kívül a dolgokat.

1. Jogos-e hogy valaki belenyúl egy meglévő konfigba? (nem EULA érdekel, azt biztos elfogadtam; és igen, a világnak haladnia kell, meg biztonság kell)

2. Hol látom CentoS szinten, hogy az SSL eldobálja a kapcsolatot? Apache szintig nem is jut el... security.log?

3. "Állítólag" nem érdemes a certbot-os ssl.conf-ot piszkálni, mert a renew csak akkor ad ki cert-et, ha nincs engedélyezve a TLS1.0 és 1.1

99. Elnézést, kijött belülem a düh.