Eu estava avaliando algumas falhas de SSL e observei que quando eu uso curl em um dos sites com falha, recebi curl: (56) SSL read: errno -5961 ; no entanto, minhas consultas do Google para esse erro não mostram o motivo da falha no openssl.
Pergunta :
O que significa quando o curl falha com curl: (56) SSL read: errno -5961 ?
Estou incluindo o curl completo abaixo ...
[mpenning@mpenning-lnx ~]$ curl -vk https://192.0.2.168/
* About to connect() to 192.0.2.168 port 443 (#0)
* Trying 192.0.2.168... connected
* Connected to 192.0.2.168 (192.0.2.168) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* warning: ignoring value of ssl.verifyhost
* skipping SSL peer certificate verification
* SSL connection using TLS_RSA_WITH_AES_256_CBC_SHA
* Server certificate:
* subject: CN=foo-console,L=New York,OU=IT Infrastructure,O=Sesame Street
* start date: Aug 21 23:36:51 2013 GMT
* expire date: Aug 21 23:36:51 2015 GMT
* common name: foo-console
* issuer: CN=foo-console,L=New York,OU=IT Infrastructure,O=Sesame Street
> GET / HTTP/1.1
> User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.14.0.0 zlib/1.2.3 libidn/1.18 libssh2/1.4.2
> Host: 192.0.2.168
> Accept: */*
>
< HTTP/1.1 200 OK
* SSL read: errno -5961
* Closing connection #0
curl: (56) SSL read: errno -5961
[mpenning@mpenning-lnx ~]$
NOTA :
Estou respondendo a minha própria pergunta, na esperança de ajudar os futuros googlers.
A causa raiz do problema acabou sendo uma incompatibilidade de MTU de camada 2, que fez com que o soquete openssl atingisse o tempo limite durante a transação curl. Pacotes do tamanho MTU completos (isto é, cargas de IP de 1500 bytes) falharam porque um lado do túnel da camada 2 não permitia a passagem deles.
Outras pessoas que vêem esse erro podem não ter uma incompatibilidade de MTU, mas pode ser qualquer coisa que faça com que uma sessão SSL expire em parte do tempo em curl .