O que é o erro NSS -5961 (PR_CONNECT_RESET_ERROR)?

Question

O que é o erro NSS -5961 (PR_CONNECT_RESET_ERROR)?

#1 resposta do (9 votos)
#2 resposta do (-1 votos)

7

Alguém pode me esclarecer o significado de "erro NSS -5961 (PR_CONNECT_RESET_ERROR)"?

Estou tentando conectar-me ao bitbucket.org com o protocolo "https", mas recebi uma recusa do servidor. Então, tento usar o curl na linha de comando e ver esta saída.

# curl -v https://bitbucket.org
* About to connect() to bitbucket.org port 443 (#0)
*   Trying 131.103.20.168...
* Connected to bitbucket.org (131.103.20.168) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* NSS error -5961 (PR_CONNECT_RESET_ERROR)
* TCP connection reset by peer
* Closing connection 0
curl: (35) TCP connection reset by peer

Com o openssl, recebi esta saída.

# openssl s_client -connect bitbucket.org:443 -msg
CONNECTED(00000003)
>>> TLS 1.2 Handshake [length 00f4], ClientHello
    01 00 00 f0 03 03 55 59 80 fa 72 25 f4 a5 84 49
... <I suspended this Hex value>
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 249 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

ssl openssl

por microstrip 18.05.2015 / 08:21

2 respostas

-1

yum update curl

resolveu o problema para mim.

por 01.11.2017 / 05:24

Tags ssl openssl

Qual é a diferença entre arquivos Virtualbox .SAV e .VDI? Como bloquear o Facebook de um usuário no Windows 8.1

score 9 · Accepted Answer

TCP connection reset by peer

Esse erro do NSS é o mesmo erro que você obtém com o openssl (errno = 104: ECONNRESET). Isso significa simplesmente que o peer ou alguma middlebox entre (firewall) está encerrando a conexão.

Como o site é acessível do meu lugar, eu sugiro que haja um firewall no seu site bloqueando a conexão. O comportamento é bastante típico para firewalls de DPI, pois a conexão TCP inicial é permitida, mas assim que você envia os primeiros dados (ClientHello do handshake TLS), ele determina se o acesso é permitido pela diretiva e o transmite ou nega injetando um TCP RST.