Comment résoudre curl: (35) Impossible de communiquer en toute sécurité avec un homologue: aucun algorithme de cryptage commun

Question

J'essaie d'accéder à et de télécharger des fichiers .torrent à partir de https://torrage.com en utilisant php curl. Mais rien ne se passe, curl_error($ch) donne

$ch = curl_init ('https://torrage.com/torrent/640FE84C613C17F663551D218689A64E8AEBEABE.torrent'); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0'); curl_setopt($ch, CURLOPT_HEADER, 1); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true); curl_setopt($ch, CURLOPT_VERBOSE,true); $data = curl_exec($ch); $error = curl_error($ch); curl_close ($ch); echo $error;

cela donne.

Cannot communicate securely with peer: no common encryption algorithm(s).

Si j'essaye de Shell comme ça

[root@prod1 yum.repos.d]# curl -I https://torrage.com curl: (35) Cannot communicate securely with peer: no common encryption algorithm(s).

en mode verbeux

[root@prod1 yum.repos.d]# curl -v https://torrage.com * Rebuilt URL to: https://torrage.com/ * Trying 81.17.30.48... * Connected to torrage.com (81.17.30.48) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nssdb * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP) * Cannot communicate securely with peer: no common encryption algorithm(s). * Closing connection 0 curl: (35) Cannot communicate securely with peer: no common encryption algorithm(s).

informations système centos 7. x86_64

[root@prod1 yum.repos.d]# uname -a Linux prod1.localdomain 3.10.0-229.4.2.el7.x86_64 #1 SMP Wed May 13 10:06:09 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

version curl

[root@prod1 yum.repos.d]# curl -V curl 7.29.0 (x86_64-redhat-linux-gnu)

openssl, déjà corrigé.

[root@prod1 yum.repos.d]# openssl version -a OpenSSL 1.0.1e-fips 11 Feb 2013 built on: Mon Jun 15 18:39:20 UTC 2015 platform: linux-x86_64 options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/etc/pki/tls" engines: dynamic

vérifiant openssl corrigé ou non.

[root@prod1 yum.repos.d]# rpm -q --changelog openssl | grep CVE-2014-0224 - fix CVE-2014-0224 fix that broke EAP-FAST session resumption support - fix CVE-2014-0224 - SSL/TLS MITM vulnerability

Ce que j'ai essayé:

1) J'ai essayé d'utiliser HTTP à la place de HTTPS, mais le site oblige à utiliser HTTPS . P. Ex.

[root@prod1 yum.repos.d]# curl -I http://torrage.com HTTP/1.1 301 Moved Permanently Server: nginx/1.9.0 Date: Mon, 29 Jun 2015 04:13:17 GMT Content-Type: text/html Content-Length: 184 Connection: keep-alive Location: https://torrage.com/

2) mise à jour de ca-bundle.crt

cp /etc/pki/tls/certs/ca-bundle.crt /root/backup/ curl http://curl.haxx.se/ca/cacert.pem -o /etc/pki/tls/certs/ca-bundle.crt

3) Mise à jour de Curl vers la dernière version 7.43.0

nano /etc/yum.repos.d/city-fan-for-curl.repo

avec ce repo.

[CityFanforCurl] name=City Fan Repo baseurl=http://www.city-fan.org/ftp/contrib/yum-repo/rhel7/x86_64/ enabled=0 gpgcheck=0

et ensuite faire

yum update curl --enablerepo=CityFanforCurl

puis en vérifiant la version curl

[root@prod1 yum.repos.d]# curl -V curl 7.43.0 (x86_64-redhat-linux-gnu) libcurl/7.43.0 NSS/3.18 Basic ECC zlib/1.2.7 libidn/1.28 libssh2/1.6.0 Protocols: dict file ftp ftps Gopher http https imap imaps ldap ldaps pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp Features: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz UnixSockets Metalink

4) J'ai essayé ceci pour vérifier si mon curl est obsolète ou non.

référence: https://unix.stackexchange.com/questions/162816/disable-sslv3-in-curl

[root@prod1 yum.repos.d]# curl -1IsS --ciphers ecdhe_ecdsa_aes_128_sha https://sslspdy.com HTTP/1.1 200 OK Server: nginx centminmod Content-Type: text/html; charset=utf-8 Connection: close Vary: Accept-Encoding Strict-Transport-Security: max-age=31536000; includeSubdomains Date: Mon, 12 Jan 1970 23:00:11 GMT X-Page-Speed: ngx_pagespeed Cache-Control: max-age=0, no-cache

Comment puis-je résoudre le problème? et téléchargez des fichiers de Torrage.com en utilisant PHP Curl?

* Je ne peux pas utiliser file_get_contents car j'utilise curl_multi pour les téléchargements simultanés.

Mise à jour 1:

Comme suggéré par steffen-ullrich

[root@prod1 randoadmin]# curl --ciphers ecdhe_rsa_aes_128_gcm_sha_256 -I https://torrage.com HTTP/1.1 200 OK Server: nginx/1.9.0 Date: Mon, 29 Jun 2015 05:54:17 GMT Content-Type: text/html; charset=UTF-8 Connection: keep-alive Expires: Mon, 26 Jul 1997 05:00:00 GMT Last-Modified: Mon, 29 Jun 2015 05:50:40 GMT Cache-Control: no-store, no-cache, must-revalidate Cache-Control: post-check=0, pre-check=0 Pragma: no-cache Vary: Accept-Encoding, Accept-Encoding Strict-Transport-Security: max-age=31536000 X-Frame-Options: DENY X-Content-Type-Options: nosniff

mais c'est avec Shell comment puis-je l'implémenter avec PHP-curl?

Mise à jour 2:

j'ai modifié le code et défini le chiffre à utiliser lors de l'utilisation de curl comme ceci.

$ch = curl_init ('https://torrage.com/torrent/640FE84C613C17F663551D218689A64E8AEBEABE.torrent'); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0'); curl_setopt($ch, CURLOPT_HEADER, 1); curl_setopt($ch, CURLOPT_SSL_CIPHER_LIST, 'ecdhe_rsa_aes_128_gcm_sha_256'); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true); curl_setopt($ch, CURLOPT_VERBOSE,true); $data = curl_exec($ch); $error = curl_error($ch); curl_close ($ch); echo $error; echo $data ;

Cela fonctionne très bien. Problème résolu, merci beaucoup à steffen-ullrich.

Steffen Ullrich · Accepted Answer

Le serveur prend en charge uniquement les chiffrements ECC (ECDHE- *). La version de curl est construite avec la bibliothèque NSS sur Redhat/CentOS. Un rapport de bogue indique que Redhat/CentOS annule les paramètres curl et désactive les chiffrements ECC par défaut . Comme il n'y a donc pas de chiffrements ECC proposés par le client mais que seuls les chiffrements ECC sont pris en charge par le serveur, la connexion échouera.

Vous pouvez essayer de donner explicitement le chiffre, c.-à-d.

curl --ciphers ecdhe_rsa_aes_128_gcm_sha_256 ...

Notez que la mise à niveau d'OpenSSL ne vous aiderait pas, car curl n'est pas construit avec le backend OpenSSL. En outre, il n'est pas utile de désactiver la validation du certificat (mauvaise idée quand même) ou de changer l'autorité de certification racine car le problème n'est pas du tout lié à la validation du certificat.

Essayer de donner explicitement le chiffre avec --ciphers ecdhe_ecdsa_aes_128_sha car le chiffre pour résoudre le problème va dans la bonne direction mais ne va pas aider dans ce cas, car ce n'est pas l'un des chiffres supportés par les serveurs. Le serveur ne prend en charge que divers chiffrements ECDHE-RSA *, mais pas ECDHE-ECDSA- *. Voir SSLLabs pour plus de détails.

Joao Coutinho · Answer

Si vous utilisez CentOS 7 et que vous rencontrez ces erreurs lors de l’utilisation de yum, la mise à jour de nss-util nss-sysinit nss-tools résoudra le problème.

automated_bot · Answer

Sur Centos 7 ou une version ultérieure, la mise à niveau de Curl vers la dernière version, à savoir 7.29. *, Corrigeait le problème.

Subdigger · Answer

Il y a aussi possibilité de vérifier

sur unix (espérons gagner aussi):

> curl -v https://www.youtube.com > test.html

note: remplacez " https://www.youtube.com " par votre domaine avec le protocole

Diriger la sortie vers test.html pour que nous ne voyions que les informations demandées à l'écran

résultat:

* Rebuilt URL to: https://www.youtube.com/ * Hostname was NOT found in DNS cache % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0* Trying 2404:6800:4005:80d::200e... * Trying 216.58.221.238... 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0* Connected to www.youtube.com (2404:6800:4005:80d::200e) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs/ * SSLv3, TLS Unknown, Unknown (22): } [data not shown] * SSLv3, TLS handshake, Client hello (1): } [data not shown] * SSLv2, Unknown (22): { [data not shown] * SSLv3, TLS handshake, Server hello (2): { [data not shown] * SSLv2, Unknown (22): { [data not shown] * SSLv3, TLS handshake, CERT (11): { [data not shown] * SSLv2, Unknown (22): { [data not shown] * SSLv3, TLS handshake, Server key exchange (12): { [data not shown] * SSLv2, Unknown (22): { [data not shown] * SSLv3, TLS handshake, Server finished (14): { [data not shown] * SSLv2, Unknown (22): } [data not shown] * SSLv3, TLS handshake, Client key exchange (16): } [data not shown] * SSLv2, Unknown (20): } [data not shown] * SSLv3, TLS change cipher, Client hello (1): } [data not shown] * SSLv2, Unknown (22): } [data not shown] * SSLv3, TLS handshake, Finished (20): } [data not shown] * SSLv2, Unknown (20): { [data not shown] * SSLv3, TLS change cipher, Client hello (1): { [data not shown] * SSLv2, Unknown (22): { [data not shown] * SSLv3, TLS handshake, Finished (20): { [data not shown] * SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256 * Server certificate: * subject: C=US; ST=California; L=Mountain View; O=Google Inc; CN=*.google.com * start date: 2017-11-29 09:44:32 GMT * expire date: 2018-02-21 09:37:00 GMT * subjectAltName: www.youtube.com matched * issuer: C=US; O=Google Inc; CN=Google Internet Authority G2 * SSL certificate verify ok. * SSLv2, Unknown (23): } [data not shown] > GET / HTTP/1.1 > User-Agent: curl/7.37.0 > Host: www.youtube.com > Accept: */* > * SSLv2, Unknown (23): { [data not shown] < HTTP/1.1 200 OK < Content-Type: text/html; charset=utf-8 < X-XSS-Protection: 1; mode=block; report=https://www.google.com/appserve/security-bugs/log/youtube < X-Content-Type-Options: nosniff < X-Frame-Options: SAMEORIGIN < Expires: Tue, 27 Apr 1971 19:44:06 EST < Strict-Transport-Security: max-age=31536000 < P3P: CP="This is not a P3P policy! See http://support.google.com/accounts/answer/151657?hl=uk for more info." < Cache-Control: no-cache < Date: Tue, 26 Dec 2017 12:26:21 GMT * Server YouTube Frontend Proxy is not blacklisted < Server: YouTube Frontend Proxy < Set-Cookie: YSC=lkUUrudTNJM; path=/; domain=.youtube.com; httponly < Set-Cookie: PREF=f1=50000000; path=/; domain=.youtube.com; expires=Mon, 27-Aug-2018 00:19:21 GMT < Set-Cookie: VISITOR_INFO1_LIVE=Qo2rlICrfJM; path=/; domain=.youtube.com; expires=Mon, 27-Aug-2018 00:19:21 GMT; httponly < Alt-Svc: hq=":443"; ma=2592000; quic=51303431; quic=51303339; quic=51303338; quic=51303337; quic=51303335,quic=":443"; ma=2592000; v="41,39,38,37,35" < Accept-Ranges: none < Vary: Accept-Encoding < Transfer-Encoding: chunked < { [data not shown] 100 152 0 152 0 0 114 0 --:--:-- 0:00:01 --:--:-- 114* SSLv2, Unknown (23): { [data not shown] * SSLv2, Unknown (23): { [data not shown] * SSLv2, Unknown (23): { [data not shown] * SSLv2, Unknown (23): .......... many-other-same-not-interesting-rows ......... { [data not shown] * SSLv2, Unknown (23): { [data not shown] 100 425k 0 425k 0 0 113k 0 --:--:-- 0:00:03 --:--:-- 113k * Connection #0 to Host www.youtube.com left intact

Voir:

* Connexion SSL via TLSv1.2/ECDHE-ECDSA-AES128-GCM-SHA256

et utilise:

curl_setopt($ch, CURLOPT_SSL_CIPHER_LIST, 'ECDHE-ECDSA-AES128-GCM-SHA256');