LetsEncrypt: erro de protocolo SSL desconhecido na conexão

Navegue suas respostas
2

Eu tenho um host com certificado LE e ele funciona bem em navegadores, mas ainda não consigo me conectar usando curl , openssl , wget , POST (libwww-perl):

curl 

# curl -v -3 https://example.com/
* Hostname was NOT found in DNS cache
*   Trying 123.123.123.123...
* Connected to example.com (123.123.123.123) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* Unknown SSL protocol error in connection to example.com:443 
* Closing connection 0

openssl 

# openssl s_client -connect example.com:443
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 295 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

wget 

# wget --post-data "key=val" -vvv https://example.com/
--2016-05-11 11:19:01--  https://example.com/
Resolving example.com (example.com)... 123.123.123.123
Connecting to example.com (example.com)|123.123.123.123|:443... connected.
Unable to establish SSL connection.

POST 

# echo 'key=val' | POST https://example.com:443 
Can't connect to example.com:443

LWP::Protocol::https::Socket: SSL connect attempt failed with unknown error SSL wants a read first at /usr/share/perl5/LWP/Protocol/http.pm line 41, <STDIN> line 1.

Configuração do Vhost: 

<VirtualHost *:443>
  ServerName example.com
  SSLEngine On
  SSLProtocol ALL -SSLv2 -SSLv3
  SSLHonorCipherOrder On
  SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
  SSLVerifyDepth 10
  SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
  SSLCertificateChainFile /etc/letsencrypt/live/example.com/fullchain.pem
  DocumentRoot "/var/www/"
</VirtualHost>
    
por Serhii Matrunchyk 11.05.2016 / 10:34

1 resposta

10

Eu acho que seu problema é relacionado ao DNSSEC. Existe um registro do DS para a zona: 

[me@risby ~]$ dig ds codestronaut.com
[...]
;; ANSWER SECTION:
codestronaut.com.       86363   IN      DS      19465 8 1 42AFC90FE0A61D3993051C55B6C4C35518713921

mas o registro A de chat não está assinado: 

[me@risby ~]$ dig +dnssec +trace chat.codestronaut.com
[...]
codestronaut.com.       172800  IN      NS      dns1.yandex.net.
codestronaut.com.       172800  IN      NS      dns2.yandex.net.
codestronaut.com.       86400   IN      DS      19465 8 1 42AFC90FE0A61D3993051C55B6C4C35518713921
codestronaut.com.       86400   IN      RRSIG   DS 8 2 86400 20160517050727 20160510035727 34745 com. Xk/mK5Y8LigJyP+iPF9arhZXKmsDvslfigom/7BZ2orIKHFGAX8/Q9eE O4rRCZPQD82WBssFHf/jcYSUiZrF/j6Ovq4sPbOJbjPUUoHlkOb8uGe/ 3erv6snM8SKVu8eSaE42cj8efvNRZR4S1MMesD5HGG1gMzjQLkTvHiEN wmE=
;; Received 329 bytes from 192.54.112.30#53(h.gtld-servers.net) in 18 ms

chat.codestronaut.com.  21600   IN      A       95.158.40.23
;; Received 66 bytes from 2a02:6b8::213#53(dns1.yandex.net) in 66 ms

Observe a falta de um registro RRSIG para chat.codestronaut.com . Isso faz com que as pesquisas de DNS simplesmente falhem em determinadas plataformas: 

[me@risby ~]$ curl https://chat.codestronaut.com
curl: (6) Could not resolve host: chat.codestronaut.com
Não acho que haja muita chance de fazer tudo isso funcionar de maneira confiável até você consertar seu DNS; faça com que seu registrador pare de publicar um registro DS para a zona ou assine sua zona corretamente. Eu não estou dizendo que este é o problema único que você tem, mas ter um DNS funcionando é praticamente um pré-requisito para tudo mais, e isso inclui a depuração.

Editar : você diz que desativou o DNSSEC, mas a alteração ainda não foi propagada (pode demorar até um dia, já que o TTL no seu antigo registro do DS era 86400s). Usando um cliente cego com DNSSEC, não consigo reproduzir os problemas relatados por você, mas observo que você está executando o SNI nesse sistema (ou seja, vários certificados SSL estão disponíveis, incluindo chat.codestronaut.com e panel.codestronaut.com ). / p>

curl -v -3 explicitamente não suporta SNI (porque o SNI é uma extensão do TLS e, portanto, não está disponível no SSLv3). openssl s_client funciona bem, uma vez que é avisado sobre o SNI: 

[me@lory tmp]$ openssl s_client -connect chat.codestronaut.com:443 -servername chat.codestronaut.com
[...]
Certificate chain
 0 s:/CN=chat.codestronaut.com
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X1
 1 s:/CN=chat.codestronaut.com
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X1
 2 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X1
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3

embora sem o sinalizador SNI ( -servername ... ) ele recebe o certificado para panel. .

Então, no momento em que seu relatório original " funciona bem em navegadores, mas eu ainda não consigo conectar usando [outras ferramentas] " parece se resumir a " funciona bem , exceto quando eu me conectar usando ferramentas que não deveriam funcionar nesta configuração ". Isso parece um pouco sem problemas.

    
por 11.05.2016 / 10:47

Tags

Chamadas fantasmas de asterisco Estratégia de backup inicial para grandes quantidades de dados