Erro de stunnel “número de versão incorreto” com TLS-PSK

1

Eu tenho Stunnel rodando em um Raspberry Pi que está agindo como um wrapper TLS para um servidor apache2. Eu configurei para usar TLS-PSK (corretamente, eu acho), mas os logs mostram o seguinte quando eu tento para concluir o handshake TLS:

2016.04.11 21:05:53 LOG7[0]: Service [PSK_server] started
2016.04.11 21:05:53 LOG5[0]: Service [PSK_server] accepted connection from 192.168.42.10:4097
2016.04.11 21:05:53 LOG7[0]: SSL state (accept): before/accept initialization
2016.04.11 21:05:53 LOG7[0]: SNI: no virtual services defined
2016.04.11 21:05:53 LOG7[0]: SSL alert (write): fatal: protocol version
2016.04.11 21:05:53 LOG3[0]: SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
2016.04.11 21:05:53 LOG5[0]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2016.04.11 21:05:53 LOG7[0]: Deallocating application specific data for addr index
2016.04.11 21:05:53 LOG7[0]: Local descriptor (FD=3) closed
2016.04.11 21:05:53 LOG7[0]: Service [PSK_server] finished (0 left)</code>

Eu verifiquei no Wireshark, e os pacotes que estou enviando são todos TLS 1.2.

Meu arquivo de configuração stunnel é assim:

output = /etc/stunnel/stunnel.log
client = no
fips = no
ciphers = PSK
PSKsecrets = /home/psk.txt
debug = 7
sslVersion = TLSv1.2
[PSK_server]
accept = PSK_server
connect = 80

Ele envia um pacote de alerta fatal TLS com o código de erro 70 (que é protocol_version, então não me diz muito mais do que os logs)

É estranho; Eu posso enviar a mensagem Client Hello, e o servidor envia Server Hello e Server Hello Done sem nenhum problema. É somente quando envio minha mensagem do Client Key Exchange que recebo o alerta. Qualquer ajuda / sugestão seria apreciada!

    
por Alex Hunter 11.04.2016 / 23:22

1 resposta

0

Eu fiz o downgrade da versão do TLS

Isso está funcionando para mim a partir de um pi de framboesa

options = NO_SSLv2
options = NO_SSLv3

CAFile = /etc/stunnel/server.crt
cert = /etc/stunnel/server.crt
key  = /etc/stunnel/server.key
pid = /var/run/stunnel.pid
output = /var/log/stunnel
verify = 4
debug = 5 

[SERVICE]
client = yes
accept = 127.0.0.1:9200
connect = SERVER.com:1111
    
por 11.04.2016 / 23:27

Tags