lỗi openssl / curl: SSL23_GET_SERVER_HELLO: lỗi nội bộ cảnh báo tlsv1

9

Chúng tôi gặp phải các sự cố rất lạ khi kết nối với openssl hoặc cuộn tròn với một trong các máy chủ của chúng tôi, từ Ubuntu 14.04

Đang thực hiện:

openssl s_client -connect ms.icometrix.com:443

cho:

CONNECTED(00000003)
140557262718624:error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert
internal error:s23_clnt.c:770:

Một lỗi tương tự khi thực hiện:

curl https://ms.icometrix.com
curl: (35) error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert
internal error

Đầu ra của phiên bản openssl (trên máy khách / máy chủ): 

OpenSSL 1.0.1f 6 Jan 2014

Đầu ra của openssl từ dpkg -l openssl:

1.0.1f-1ubuntu2

Điều buồn cười là, vấn đề biến mất khi kết nối với các phiên bản khác của Openssl:

  • Từ máy mac, OpenSSL 0.9.8zd ngày 8 tháng 1 năm 2015, tất cả đều ổn
  • Từ centos, OpenSSL 1.0.1e-fips 11 tháng 2 năm 2013, tất cả đều ổn
  • Bản phát hành ổn định mới nhất trên Ubuntu 14.04, OpenSSL 1.0.2d ngày 9 tháng 7 năm 2015, tất cả đều ổn.

Từ phía máy chủ, chúng tôi không thấy có gì lạ. Vấn đề bắt đầu khi chúng tôi vô hiệu hóa SSL3 trên máy của chúng tôi.

Có thể có một vấn đề với việc xây dựng trong apt-get?

Chúng tôi cũng thử nghiệm các phiên bản khác, phiên bản được đề xuất bởi apt-cache showpkg, nhưng vấn đề vẫn là ...

ssl  openssl  tls 
bánh quy
nguồn
Có vẻ như bạn đã gặp phải lỗi này: bug.launchpad.net/ubfox/+source/openssl/+orms/861137 . Một số cách giải quyết được đề cập. Có curl --sslv3 https://ms.icometrix.comhoạt động không?
Jos
Hi, cảm ơn bạn đã trả lời. Không, điều này không hoạt động, bởi vì chúng tôi đã vô hiệu hóa ssl trên các máy chủ của chúng tôi. Hơn nữa, trên thực tế, chúng tôi không quan tâm đến curl hoặc openssl, vấn đề thực sự đối với chúng tôi là chúng tôi sử dụng các yêu cầu từ python, sử dụng phiên bản openssl này. Vì vậy, nếu bạn có bất kỳ ý tưởng, cảm ơn đã cho biết. Tôi sẽ đào sâu hơn.
cecillac 16/07/2015

Câu trả lời:

4

Điều này có vẻ như là một vấn đề với hỗ trợ ECDH giữa máy khách và máy chủ. Nếu bạn loại trừ tất cả các mật mã ECDH, nó hoạt động:

openssl s_client -connect ms.icometrix.com:443 -cipher 'DEFAULT:!ECDH'

Tôi đoán là máy chủ uốn cong trên một số trong 25 đường cong ECC được cung cấp bởi khách hàng. Trình duyệt chỉ cung cấp một vài đường cong. OpenSSL 0.9.8 chưa hỗ trợ bất kỳ ECC nào và RedHat / CentOS có lịch sử vô hiệu hóa ECC theo mặc định vì lý do bằng sáng chế. Tôi không biết tại sao OpenSSL 1.0.2 hoạt động vì tôi không có quyền truy cập vào phiên bản này.

Xin lưu ý rằng việc cung cấp phiên bản OpenSSL thường là không đủ vì tất cả các bản phân phối giữ các phiên bản cũ hơn nhưng thêm các bản vá bảo mật. Thay vào đó, hãy kiểm tra xem có dpkg -l opensslcung cấp 1.0.1f-1ubfox2.15 trên hệ thống của tôi không.

Steffen Ullrich
nguồn
thx nó đã lừa Tôi đã cập nhật bài đăng với đầu ra từ dpkg -l
cecillac 16/07/2015
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.