Re: [Ot] Icedove Unable to load page ...

[Hugh Hartmann <hhartmann@fastwebnet.it>]

Ciao Giuseppe,
e un saluto "certificato" si estende a tutti i partecipanti alla lista 
... :-)

On 11/01/2015 23:59, Giuseppe Sacco wrote:
> Ciao Hugh

Mi fa piacere risentirti, dopo diversi anni che non ci si sente ... 
direi che è passato quasi un eone ... :-))

> Il giorno sab, 10/01/2015 alle 23.02 +0100, Hugh Hartmann ha scritto:
> [...]
> > Il messaggio che mi appare al posto della prima pagina del sito di Debian è:
> > [...]
> > Unable to load page
> >
> > Problem occurred while loading the URL https://www.debian.org/index.it.html
> >
> > SSL handshake failed: A TLS fatal alert has been received.
> > [...]
>
> Potrebbe essere un problema legato alla libreria SSL troppo vecchia.
Penso proprio che questo sia il vero problema ...

> Considera che alcuni dei protocolli vengono evitati perché hanno
> problemi di sicurezza.

Deve esserci qualcosa di relativo proprio sul bug della libsoup come 
risulta dal git repository di Gnome:
[...]
*Disable TLS 1.2 in addition to 1.0 and 1.1*
Due to bug 581342 we want to only negotiate SSL 3.0. Previously we
were telling gnutls to not do TLS1.0 or TLS1.1, but that means with
newer versions of gnutls that support TLS1.2 it would try to negotiate
that instead and generally fail. Fix that by disabling TLS1.2 too
(which works fine even with gnutls versions that don't support TLS1.2
yet).

https://bugzilla.gnome.org/show_bug.cgi?id=622857
[...]

(che ho potuto leggere con iceweasel dato che epiphany, logicamente non 
mi permetteva di fare ... :-)

> Giusto per verificare se il problema è solo dell'SSL, prova a
> collegartici a mano e verificare che protocollo (o che errore) viene
> scelto. Il comando è:
>
> openssl s_client -connect www.debian.org:443

Fatto! il messaggio che mi restituisce è (parziale):
[...]
CONNECTED(00000003)
depth=2 /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST 
Network/CN=USERTrust RSA Certification Authority
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=Gandi Standard SSL/CN=debian.org
   i:/C=FR/ST=Paris/L=Paris/O=Gandi/CN=Gandi Standard SSL CA 2
 1 s:/C=FR/ST=Paris/L=Paris/O=Gandi/CN=Gandi Standard SSL CA 2
   i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST 
Network/CN=USERTrust RSA Certification Authority
 2 s:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST 
Network/CN=USERTrust RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust 
External CA Root
subject=/OU=Domain Control Validated/OU=Gandi Standard SSL/CN=debian.org
issuer=/C=FR/ST=Paris/L=Paris/O=Gandi/CN=Gandi Standard SSL CA 2
---
No client certificate CA names sent
---
SSL handshake has read 5146 bytes and written 319 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 3072 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 
68C0B3CEA5EA24FF69EAE619F6DD2F78903E540C4D1C6A4EF3DD560384D97996
    Session-ID-ctx:
    Master-Key: 
3600C343BF295A4782001BECCAA544F78B4D072F86193FADF70EAC0AB7CD4C7BDEABEBA73F260A2F82AD4B1F7339E5F2
    Key-Arg   : None
    Start Time: 1421017406
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
closed

[...]

Dal messaggio di responso si evince che il i protocolli sono:

TLSv1/SSLv3

Mi spiacerebbe cambiare epiphany, forse si potrebbe ricompilare libsoup 
dai sorgenti con una patch adeguata e installare il pacchetto relativo 
al posto di quello presente ora sul mio sistema quindi epiphany dovrebbe 
funzionare.

Mah, sono alquanto perplesso sulle possibili altre soluzioni ...

Intanto grazie Giuseppe,
Good Night!

Hugh Hartmann



--
L'immaginazione è più importante della conoscenza» (Albert Einstein)