Полезная информация

В мире Mozilla происходит много интересных событий. Но вам не нужно постоянно посещать новостные сайты, чтобы быть в курсе всех изменений. Зайдите на ленту новостей Mozilla Россия.

Firefox » Firefox 27. Что изменили в криптографии? Не работает SSL соединение. » 14-02-2014 12:17:51

CatCheshirsky пишет

Надо будет проверить через другое соединение.

Я на разных соединениях пробовал, картина одинаковая везде, от проксей не зависит.

CatCheshirsky пишет

другие браузеры и предыдущая версия FireFox работают...

О чем и речь...

Firefox » Firefox 27. Что изменили в криптографии? Не работает SSL соединение. » 12-02-2014 13:10:32

banbot
Ага, понятно... путь полный к openssl указать надо.
Только все равно не запускается, гад. Ни так, как у тебя написано, ни со своими путями. Как только не пробовал... :(

Пишу в файле: OPENSSLBIN="/home/user/bin/openssl"
В консоли проверяю... файл видится, работает отдельно, а из скрипта не вызывается...
[code]root@localhost:/home/user/bin# ls /home/user/bin
cipherscan  openssl  OpenSSL-LICENSE  README.md  top1m
root@localhost:/home/user/bin# openssl ciphers
DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:RC2-CBC-MD5:RC4-SHA:RC4-MD5:RC4-MD5:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-RC2-CBC-MD5:EXP-RC4-MD5:EXP-RC4-MD5
root@localhost:/home/user/bin# openssl
OpenSSL> ^C
root@localhost:/home/user/bin# ./cipherscan -v www.google.com:443
Loading 0 ciphersuite

Firefox » Firefox 27. Что изменили в криптографии? Не работает SSL соединение. » 12-02-2014 11:55:40

banbot пишет

Его вообще надо запускать не на QNX, а на другой машинке с Linux и с неё сканировать сервер.

Приволок на работу Debian 6.0 Live, решил сервак потестить...
Чего-то не хочет он ни с кем коннектиться. Тупо строка из примера не работает :(

Выделить код

Код:

root@localhost:/home/user/Рабочий стол/cipherscan-master# openssl ciphers
DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:RC2-CBC-MD5:RC4-SHA:RC4-MD5:RC4-MD5:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-RC2-CBC-MD5:EXP-RC4-MD5:EXP-RC4-MD5
root@localhost:/home/user/Рабочий стол/cipherscan-master# ./cipherscan -v www.google.com:443
Loading 0 ciphersuites from 
.Connecting to 'www.google.com:443' with ciphersuite 'ALL:COMPLEMENTOFALL'
handshake failed, no ciphersuite was returned

Firefox » Firefox 27. Что изменили в криптографии? Не работает SSL соединение. » 11-02-2014 15:03:13

banbot пишет

Если просто установить security.tls.version.max в 1, не помогает?

Нет, все от 0 до 3 пробовал. Другие настройки security.ssl... тоже крутил по всякому. Всегда один из двух вариантов: либо отсутствуют общие алгоритмы шифрования - когда запрещаю лишнего, либо не удалось договориться о параметрах безопасности, если протоколы общие есть.
С security.ssl.enable_false_start в false аналогичная картина.

banbot пишет

Его вообще надо запускать не на QNX, а на другой машинке с Linux и с неё сканировать сервер.

А, понятно... Ну, под руками все равно сейчас компа с Линуксом нет, в другой раз как-нибудь...

banbot пишет

Попробуй ночную сборку Firefox

Попробовал. То же самое...

11-02-2014 15:14:19

CatCheshirsky пишет

из новой версии невозможно подключиться к СервисГид от Мегафона.

Кстати...  Ради интереса проверил только что.
Хромом зашел.
Ночной сборкой Firefox: Ошибка. Сервис недоступен. Обратитесь, пожалуйста, в службу поддержки.

Firefox » Firefox 27. Что изменили в криптографии? Не работает SSL соединение. » 10-02-2014 23:41:27

banbot

banbot пишет

Если эту строку раскоментировать, что будет?

Тоже подумал об этом... На тестовом конфиге ничего не изменилось. На рабочей машине менять не стал - надо же будет перезапустить веб-сервер, а тогда клиенты поотвалятся, начнут паниковать.

banbot пишет

попробуй открыть в Firefox страницу about:config, отфильтровать по параметру security.ssl3. и установи щелчком всё

Это еще сразу попробовал - не помогает. Просто, появляется другая ошибка и все:

Выделить код

Код:

Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования. 
(Код ошибки: ssl_error_no_cypher_overlap)
banbot пишет

я бы поискал обновления для QNX, OpenSSL и Apache, если они есть

Ключевые слова - "если они есть" :)
На 4.25 вообще проблематично что-то найти. Под 6 версию еще реально. И еще заковыка в том, что все это заточено под определенные задачи, с которыми оно отлично справляется и так. Переделывать ПО вряд ли кто будет, я уже раз общался с

Firefox » Firefox 27. Что изменили в криптографии? Не работает SSL соединение. » 10-02-2014 17:45:48

banbot

Уфф... Мозги уже закипают.
Под QNX 4.25 скрипт сканера не работает корректно, сразу вываливается с ошибкой. Что в нем не так - это выше моих сил.

Про Апач нет ничего похожего, кроме упоминаний его в логах или конфигах.

скрытый текст
[Sat Jan  4 11:23:30 2014] gcache s[Sat Jan  4 11:23:30 2014] gcache started
[Sat Jan  4 11:23:30 2014] [notice] Apache/1.3.6 Ben-SSL/1.35 RTX/1.03 (Unix) rus/PL28.16 configured -- resuming normal operations

Нашел в httpd.conf все, что касается SSL:
[spoiler]# Load some randomness.
# This is loaded at startup, reading at most 1024 bytes from /dev/random
# The randomness will be _shared_ between all server instances. You can have
# as many of these as you want.
SSLRandomFile /www/srv.webmeteo/conf/rand.dat 1024

# And this one will be loaded before SSL is negotiated for each connection.
# Again, you can have as many of these as you want, and they will all be used
# at each connection.
SSLRandomFilePerConnection /www/srv.webmeteo/conf/ra

Firefox » Firefox 27. Что изменили в криптографии? Не работает SSL соединение. » 10-02-2014 14:31:14

sentaus пишет

Где-нибудь на сервере

Мда, логично... :) Пока ничего похожего не нашел.
Стоит Апач, но где у него конфиги и все остальное в QNX 4.25, пока не вижу...

sentaus пишет

Первых двух не было, остальные вроде были.

Отключить эти первые две где-то можно?

ЗЫ. Нашел, где отключить. Отключил. Не помогло.

Firefox » Firefox 27. Что изменили в криптографии? Не работает SSL соединение. » 10-02-2014 13:30:42

sentaus пишет

Вот список CipherSuites из FF27, крайне желательно, чтобы сервер умел первые две.

Где и как это можно посмотреть?
И опять же, что из этого появилось в 27 версии и отсутствовало до 26 включительно?

Firefox » Firefox 27. Что изменили в криптографии? Не работает SSL соединение. » 10-02-2014 12:30:29

Всем доброго дня!

После обновления на 27 версию Firefox стало невозможно соединиться с локальным сервером, с которым ведется обмен данными по защищенному каналу.
Получаю следующее сообщение:

Выделить код

Код:

Ошибка при установлении защищённого соединения

При соединении с ххххххх произошла ошибка. SSL-узлу не удалось договориться о приемлемом наборе параметров безопасности. (Код ошибки: ssl_error_handshake_failure_alert)

До обновления на 27 версию все работало. В ИЕ, Хроме, Лисе ранее 27 версии все работает.
Что такого поменялось в настройках по-умолчанию, что соединение не устанавливается? Можно ли заставить все работать как раньше?

Пробовал играться с параметрами security.tls.version.min и security.tls.version.max - полезного ничего не дало. Если протоколы совпадают, то получаю сообщение выше, а если не совпадают, то так и пишет, что не совпадают. В остальные настройки security. особо не лез, поскольку не все из них мне понятны.

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]