web-dev-qa-db-fra.com

Stunnel ne fonctionnera pas avec SSLV3 de certains hôtes

AVERTISSEMENT: SSLV3 est obsolète . Considérons Désactivation totale .

J'essaie de configurer Stunnel pour serveur en tant que cache SSL. Tout était lisse, et surtout cela fonctionne comme conçu.

Ensuite, j'ai rencontré des erreurs dans les fichiers journaux:

 SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

Tous les clients ne déclenchent pas que, pour une raison d'étrange. Connexion de Centos à l'aide de liens - Erreur apparaît (essayé plusieurs machines). Connexion de Ubuntu en utilisant des liens - aucune erreur.

Essayé d'utiliser wget et tout est lisse avec TLSV1, mais une erreur apparaît avec SSLV3. Dans le même temps, wget rapporte:

OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Impossible d'établir une connexion SSL.

Voici ma configuration:

pid = /etc/stunnel/stunnel.pid
debug = 3
output = /etc/stunnel/stunnel.log

socket=l:TCP_NODELAY=1
socket=r:TCP_NODELAY=1

verify=3    

; fixing "fingerprint does not match" error
fips=no

[https]
accept=12.34.56.78:443
connect=127.0.0.1:80
TIMEOUTclose=0
xforwardedfor=yes
CAfile = /path/to/ssl/example.com.cabundle
cert=/path/to/ssl/example.com.crt
key=/path/to/ssl/example.com.key

Quelqu'un a un aperçu de ce qui se passe ici? Googled pour plusieurs heures maintenant, ne peut pas le comprendre.

Version OpenSSL: OpenSSL 0.9.8e-FIPS-RHEL5 01 juil. 2008.

Version stunelle: 4.32

Edit:

Voici une sortie de openssl s_client -connect example.com:443 -ssl3

CONNECTED(00000004)
3897:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1086:SSL alert number 40
3897:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:530:

Même avec -tls1 fonctionne bien, sans aucune erreur.

9
Sergey

OK, le problème a été résolu ... J'ai ajouté ceci à la configuration:

sslVersion = all
options = NO_SSLv2

Pour autant que je sache, l'erreur était liée à SSLV23. Maintenant tous fonctionne comme prévu.

10
Sergey

SSL3_GET_RECORD:wrong version number C'est la clé. Il semble que Lynx sur vos systèmes Centos n'utilise pas SSLV3.

Ce sera plus facile de vérifier le comportement exact avec openssl s_client:

Vérifiez ce qui se passe avec juste sslv3:

openssl s_client -connect server:443 -ssl3

Et avec juste tls:

openssl s_client -connect server:443 -tls1
6
Shane Madden

Je devais régler

options = -NO_SSLv3

pour désactiver l'option par défaut de no_sslv3. (Le serveur se connecte à ne pas faire TLS)

0
Jonathan Nicol