A negociação de TLS falhou em ldaps: // - sslv3 alert bad record mac

1

Estamos enfrentando um problema em um dos nossos ambientes openldap, enquanto ativamos consultas seguras via ldaps: // nosso ambiente de integração continua retornando o seguinte erro para o comando ldapsearch:

SSL3_READ_BYTES:sslv3 alert bad record mac

enquanto o mesmo comando apontando para o nosso ambiente de produção se conecta corretamente e retorna entradas correspondentes. Mesma consulta contra o ambiente de integração na porta 389 e o ldap: // também funciona.

Ambos são executados nas seguintes versões:

  • Servidor Red Hat Enterprise Linux versão 6.2 (Santiago)
  • OpenLDAP: slapd 2.4.23
  • OpenSSL 1.0.0-fips

Cada um tem seu próprio certificado, assinado pela mesma autoridade de certificação.

No nosso ambiente de integração:

/etc/openldap/slapd.d/cn\=config.ldif:

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapint.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldapint.key

E no mesmo arquivo, ambiente de produção:

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapPRO.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldap.key

E podemos verificar este problema fazendo o seguinte:

$ openssl s_client -connect localhost:636 -showcerts -CApath /etc/openldap/cert/root_CA.pem
CONNECTED(00000003)
depth=1 L = (...), OU = (...), CN = (...)
verify error:num=19:self signed certificate in certificate chain
verify return:0
139866277001032:error:140943FC:SSL routines:SSL3_READ_BYTES:sslv3 alert bad record mac:s3_pkt.c:1193:SSL alert number 20
139866277001032:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---

Alguma idéia do que está errado e como configurar nossos LDAPS seguros: // para o OpenLDAP?

Obrigado!

    
por Oriol 18.08.2014 / 17:04

1 resposta

0

SSL3_READ_BYTES:sslv3 alert bad record mac

Dos sons, é um bug com o OpenSSL. Veja o Debian Bug 212410 e Bug do Debian 338006 .

Aqui está um problema semelhante sendo que o 1.0.0 está sendo discutido na lista de discussão do OpenSSL: OpenSSL SSL_Accept Erro .

Houve um bug AES-NI que produziu uma mensagem semelhante, mas foi descoberto em 1.0.1c e corrigido em 1.0.1d (e afetou o TLS 1.1 e o TLS 12) (veja o CHANGE LOG ).

Acho que as recomendações padrão provavelmente se aplicam: certifique-se de que você e o outro ponto de extremidade estejam usando o OpenSSL mais recente.

    
por 21.12.2014 / 08:27