Re: Fallo OpenSSL en Debían al conectar
El día 11 de septiembre de 2014, 16:05, Camaleón <noelamac@gmail.com> escribió:
> El Thu, 11 Sep 2014 15:47:20 +0200, Maykel Franco escribió:
>
> (ugh...)
>
>> El 11/09/2014 15:27, "Camaleón" <noelamac@gmail.com> escribió:
>
> (...)
>
>>> > OpenSSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
>>> >
>>> > No se pudo establecer la conexión SSL.
>>>
>>> ¿Has probado a comunicarte con otro servidor?
Sí, no tengo problema. Es con determinada dirección.
>
> (...)
>
>>> > Estoy intentando conectar con un servicio soap, en otro servidor que
>>> > tengo con Ubuntu 10.04 , funciona sin problemas a la misma direccion.
>>> >
>>> > Puede ser que sea por la version openssl, al ser una version mas
>>> > antigua se lo trague? puede tener que ver con algo de libs de OpenSSL
>>> > de los servers?
>>> >
>>> > Desde donde me falla tiene una versión mas moderna de openssl.
>>>
>>> Echa un ojo a esto:
>>>
>>> Unable to establish SSL connection, how do I fix my SSL cert?
Es una de las primeras URLs que mire en la búsqueda, no me solucionada nada.
>>>
>> http://stackoverflow.com/questions/15166950/unable-to-establish-ssl-connection-how-do-i-fix-my-ssl-cert
>>>
>> Si lo he mirado. Es un bug de OpenSSL...
>
> ¿Bug? ¿Qué bug?
Este bug:
https://bugs.launchpad.net/ubuntu/+source/openssl/+bug/861137
No soy el único.
>
>> En Ubuntu me da este error pero desde un debían 7 me da error fatal en
>> gnutls...
>
> ¿Qué error?
Este error:
root@omd:~# wget https://domain.example.com/client?wsdl
--2014-09-12 12:57:30-- https://domain.example.com/client?wsdl
Resolving enterpriseintegration.nh-hotels.com (domain.example.com)...
83.82.83.82
Connecting to enterpriseintegration.nh-hotels.com
(domain.example.com)|83.82.83.82|:443... connected.
GnuTLS: A TLS fatal alert has been received.
Unable to establish SSL connection.
>
>> Si le dices que use la versión 3 ssl v3 funciona bien... Que raro.
Concretamente:
En ubuntu, pasandole el procolo SSLv3 se descarga correctamente:
root@web1-apache:/home/maykel# wget --secure-protocol=SSLv3
https://domain.example.com/client?wsdl
--2014-09-12 12:59:44-- https://domain.example.com/client?wsdl
Resolving domain.example.com (domain.example.com)... 83.82.83.82
Connecting to domain.example.com
(domain.example.com)|83.82.83.82|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/xml]
Saving to: `client?wsdl.1'
[ <=>
] 4,860 --.-K/s in 0.05s
2014-09-12 12:59:45 (97.2 KB/s) - `client?wsdl.1' saved [4860]
En debian 7 aún así tampoco funciona:
root@omd:~# wget --secure-protocol=SSLv3 https://domain.example.com/client?wsdl
--2014-09-12 13:00:34-- https://domain.example.com/client?wsdl
Resolving domain.example.com (domain.example.com)... 83.82.83.82
Connecting to domain.example.com
(domain.example.com)|83.82.83.82|:443... connected.
GnuTLS: GnuTLS internal error.
Unable to establish SSL connection.
Que pueda tener algo raro ese servidor, pues puede ser, pero lo que sí
que es raro es que en máquinas con openssl antiguo, por ejemplo ubuntu
10.04, Mandrake (si mandrake del año 2005) y Mandriva tira sin
problemas:
root@moriarty:/home/maykel# openssl version
OpenSSL 0.9.8k 25 Mar 2009
root@moriarty:/home/maykel# wget https://domain.example.com/client?wsdl
--2014-09-12 13:03:43-- https://domain.example.com/client?wsdl
Resolviendo domain.example.com... 83.82.83.82
Conectando a domain.example.com|83.82.83.82|:443... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: no especificado [text/xml]
Guardando en: «client?wsdl.3»
[ <=>
] 4.860 --.-K/s en 0s
2014-09-12 13:03:43 (21,6 MB/s) - «client?wsdl.3» guardado [4860]
root@moriarty:/home/maykel# lsb_release
No LSB modules are available.
root@moriarty:/home/maykel# cat /etc/issue
Ubuntu 10.04.4 LTS \n \l
Al menos... Es un poco raro no??
Gracias por la ayuda.
Saludos.
>> Tampoco funciona metiendo la ip a capón en vez de usar DNS.
>>
>> Lo curioso es que tenemos servidores antiguos , versión mas antigua de
>> OpenSSL y funciona perfectamente...
>>
>> Probaré a otros servidores.
>
> Prueba también la comunicación con openssl y la depuración habilitada por
> si vieras más datos. de todas formas, yo no veo ese error en Wheezy:
>
> sm01@stt008:~$ wget 82.83.82.83:443
> --2014-09-11 16:02:18-- http://82.83.82.83:443/
> Conectando con 82.83.82.83:443... conectado.
> Petición HTTP enviada, esperando respuesta... Error de lectura (Conexión reinicializada por la máquina remota) en las cabeceras.
> Reintentando.
>
>
>
>
> sm01@stt008:~$ openssl s_client -connect 82.83.82.83:443
> CONNECTED(00000003)
> depth=0 CN = chhiwgq4bstlgdhg.myfritz.net
> verify error:num=18:self signed certificate
> verify return:1
> depth=0 CN = chhiwgq4bstlgdhg.myfritz.net
> verify return:1
> ---
> Certificate chain
> 0 s:/CN=chhiwgq4bstlgdhg.myfritz.net
> i:/CN=chhiwgq4bstlgdhg.myfritz.net
> ---
> Server certificate
> -----BEGIN CERTIFICATE-----
> MIID0zCCArugAwIBAgIJAOphLoYBMtuuMA0GCSqGSIb3DQEBBQUAMCcxJTAjBgNV
> BAMTHGNoaGl3Z3E0YnN0bGdkaGcubXlmcml0ei5uZXQwHhcNMTQwMzI4MjAxNjIx
> WhcNMzgwMTE1MjAxNjIxWjAnMSUwIwYDVQQDExxjaGhpd2dxNGJzdGxnZGhnLm15
> ZnJpdHoubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1dNhP2Hj
> XgTfUOXOintZMxKVYW/6xjY4Krjxt5jXR/f1vqeTr6zYAs3JLuSN6c0SFpPY+Fxj
> rWt6PkHnvB7o4huWGaxO6CTWMvQf8mPWyI3abncN5BObWbcMHOkG59sCJoAmHyJ7
> uL4pIt+5OEOfJlnXTGG+4MrxEGLdn2DJ5I5K9MxYCrYGx8akQdbrf43cePGqaDwl
> J/vtADFF0Vqw/V7vpptuJ+EQURtnRWSaQylg22nMUihLDZ7vbBWoFBnctLPTQv/r
> pF3XIuHG3b58hR69RmF6wfSq8KQfurrGZvjqX26QBmejKLtPJLVA0U254fD+Md5G
> zP0EGEGfMsM0EQIDAQABo4IBADCB/TAdBgNVHQ4EFgQUCkaKLC8L7tyEo7T2gmrN
> xyvIdUEwVwYDVR0jBFAwToAUCkaKLC8L7tyEo7T2gmrNxyvIdUGhK6QpMCcxJTAj
> BgNVBAMTHGNoaGl3Z3E0YnN0bGdkaGcubXlmcml0ei5uZXSCCQDqYS6GATLbrjAM
> BgNVHRMEBTADAQH/MHUGA1UdEQEB/wRrMGmCHGNoaGl3Z3E0YnN0bGdkaGcubXlm
> cml0ei5uZXSCEWZyaXR6LmZvbndsYW4uYm94gglmcml0ei5ib3iCDXd3dy5mcml0
> ei5ib3iCC215ZnJpdHouYm94gg93d3cubXlmcml0ei5ib3gwDQYJKoZIhvcNAQEF
> BQADggEBAFu2er2oLBzuAmXKjXx6Nn+9UcoVFBZLOHh22yFDrHZyTCBruIA7uYP5
> ruDIqleX6JAz15irDX+6ulxwvonDxDelWP7ua7CZ5bsRIcFwEbrBPuA1QUR49fjA
> k7moer6vf/7ldC0BE3/2rgPXGMf3VYpSqIvSMNWBW4UytnvoFLe6E5l0NBYk/WTf
> 29+EvxccDJM+dOClAk79KCtXu8hHGa7RGKNxF6SyLC94RToAVOBGR1xTDngaX6Vl
> +ZLhz2jqsUfAyG2jPxzUvxaBm2/2CvlUyHJ8J7nEW+9NJ5FDeZ76um6+08MDl6zO
> QnB/CUi6RAWQnDr4auqmjMfrVJowNcU=
> -----END CERTIFICATE-----
> subject=/CN=chhiwgq4bstlgdhg.myfritz.net
> issuer=/CN=chhiwgq4bstlgdhg.myfritz.net
> ---
> No client certificate CA names sent
> ---
> SSL handshake has read 1133 bytes and written 622 bytes
> ---
> New, TLSv1/SSLv3, Cipher is RC4-SHA
> Server public key is 2048 bit
> Secure Renegotiation IS NOT supported
> Compression: NONE
> Expansion: NONE
> SSL-Session:
> Protocol : TLSv1
> Cipher : RC4-SHA
> Session-ID: 172D96B8D3C184DA5A551676C834A39D260F9329D86B0989BAAE9B0EC639BE40
> Session-ID-ctx:
> Master-Key: EDA91723AEAD3107850D3E48AE87F541ACE671896DA804BD874CECB54D97B030CAE2EC389CFA2F89760AFCFE28E0617F
> Key-Arg : None
> PSK identity: None
> PSK identity hint: None
> SRP username: None
> Start Time: 1410444160
> Timeout : 300 (sec)
> Verify return code: 18 (self signed certificate)
> ---
>
> Saludos,
>
> --
> Camaleón
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] pan.2014.09.11.14.05.00@gmail.com">https://lists.debian.org/[🔎] pan.2014.09.11.14.05.00@gmail.com
>
Reply to: