Ich verwende einen benutzerdefinierten internen Authentifizierungsserver. Mit der letzten Updaterunde begannen Probleme aufzutreten, offenbar aufgrund einer Änderung der Chiffren. Dies ist auf einer CentOS6-Box, vollständig aktualisiert.
curl https://crowd.test.org:8443 \
--cacert /etc/pki/ca-trust/source/anchors/ca.crt \
-vvv
* About to connect() to crowd.test.org port 8443 (#0)
* Trying 192.XXX.XXX.XXX... connected
* Connected to crowd.test.org (192.XXX.XXX.XXX) port 8443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/ca-trust/source/anchors/ca.crt
CApath: none
* NSS error -12173
* Closing connection #0
* SSL connect error
curl: (35) SSL connect error
You have mail in /var/mail/root
Ich habe mit nmap nachgeprüft und eine unterstützte Chiffre gefunden: TLS_DHE_RSA_WITH_AES_128_CBC_SHA. Ich habe dies auf der Curl-Site überprüft und festgestellt, dass Folgendes tatsächlich funktioniert.
curl https://crowd.mydomain.org:8443 --cacert \
/etc/pki/ca-trust/source/anchors/ca2.crt \
-vvv --tlsv1.0 --ciphers rsa_aes_128_sha
Wie korrigiere ich das? Ich habe bereits die herkömmliche Downgrade-Methode ohne Erfolg verwendet.
yum history
yum history undo 106
Antwort1
Bezogen aufhttps://mozilla.github.io/python-nss-docs/nss.error-module.htmles sieht aus, als wäre das ein Zeichen dafür, dass der Server einen schwachen, flüchtigen Diffie-Hellman-Schlüssel hat:
SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY = -12173
Auf den Servern, auf denen ich diesen Fehler gesehen habe, war das tatsächlich der Fall.