9 votes

cecemel avatar

erreur openssl/curl : SSL23_GET_SERVER_HELLO:tlsv1 alerte erreur interne

Demandé el 16 de Juillet, 2015
Quand la question a-t-elle été
53131 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous rencontrons des problèmes très étranges pour nous connecter avec openssl ou curl à l'un de nos serveurs, depuis Ubuntu 14.04

Exécution :

openssl s_client -connect ms.icometrix.com:443

donne :

CONNECTED(00000003)
140557262718624:error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert
internal error:s23_clnt.c:770:

Une erreur similaire lors de l'exécution :

curl https://ms.icometrix.com
curl: (35) error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert
internal error

Sortie de la version d'openssl (sur client/serveur) :

OpenSSL 1.0.1f 6 Jan 2014

Sortie de openssl de dpkg -l openssl :

1.0.1f-1ubuntu2

Le plus drôle, c'est que le problème disparaît lorsqu'on se connecte avec d'autres versions d'Openssl :

  • Depuis un Mac, OpenSSL 0.9.8zd 8 Jan 2015, tout est ok.
  • Depuis centos, OpenSSL 1.0.1e-fips 11 févr. 2013, tout est ok.
  • Dernière version stable sur Ubuntu 14.04, OpenSSL 1.0.2d 9 Jul 2015, tout est ok.

Du côté du serveur, nous ne voyons rien d'étrange. Le problème a commencé lorsque nous avons désactivé SSL3 sur nos machines.

Il pourrait y avoir un problème avec la construction dans l'apt-get ?

Nous testons également d'autres versions, celle proposée par apt-cache showpkg, mais le problème demeure...

Demandé el 16 de Juillet, 2015 par cecemel

Réponse

Trop de publicités?

4voto

Steffen Ullrich avatar
Steffen Ullrich Points 1441

Cela ressemble à un problème de support ECDH entre le client et le serveur. Si vous excluez tous les ciphers ECDH, cela fonctionne :

openssl s_client -connect ms.icometrix.com:443 -cipher 'DEFAULT:!ECDH'

Je pense que le serveur craque sur certaines des 25 courbes ECC proposées par le client. Les navigateurs ne proposent que quelques courbes. OpenSSL 0.9.8 ne supporte pas encore l'ECC et RedHat/CentOS a l'habitude de désactiver l'ECC par défaut pour des raisons de brevets. Je ne sais pas pourquoi OpenSSL 1.0.2 fonctionne puisque je n'ai pas accès à cette version.

Veuillez noter que donner la version d'OpenSSL n'est généralement pas suffisant car toutes les distributions conservent les anciennes versions mais ajoutent des correctifs de sécurité. Vérifiez plutôt avec dpkg -l openssl ce qui donne 1.0.1f-1ubuntu2.15 sur mon système.

Répondu el 16 de Juillet, 2015 par Steffen Ullrich (1441 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X