Net:HTTP Ubuntu 14.04 上的 SSL 协商超时
Net:HTTP SSL negotiation timeout on Ubuntu 14.04
经过漫长的一天,我终于查明了我认为是 SSL/TLS 与不支持最新和最好版本的服务器的密码协商问题。
堆栈:
- Ubuntu 14.04 完全修补
- OpenSSL 1.0.1f 2014 年 1 月 6 日
- IRB 0.9.6(09/06/30)
- ruby 2.2.2p95(2015-04-13 修订版 50295)[x86_64-linux](使用 rbenv)
60 秒后,下面的代码片段给我一个错误:
require 'net/http'
require 'openssl'
uri = URI.parse('https://some_old_server/my/path')
http = Net::HTTP.new('some_old_server', 443)
http.verify_mode = OpenSSL::SSL::VERIFY_NONE
http.use_ssl = true
response = http.request(Net::HTTP::Get.new(uri.request_uri))
Errno::ECONNRESET: Connection reset by peer - SSL_connect
如果我将此添加到代码中,它会起作用:
(...)
http.ciphers = ['AES128-SHA']
(...)
=> #<Net::HTTPOK 200 OK readbody=true>
这不是 ruby 特有的问题,但理想情况下有 ruby 解决方案。我无法将密码锁定为 'AES128-SHA',因为相同的代码处理许多可能支持也可能不支持此密码的站点。
有没有人遇到过这个问题并找到了通用的解决方案?
编辑:这似乎是由“TLS hang bug" and was fixed in openssl 1.0.1g.
新问题:是否有可以在 ruby 端实施的解决方法?
更多信息。
Gentoo 服务器 运行 OpenSSL 1.0.1j 2014 年 10 月 15 日没有这个问题。我尝试在 Ubuntu 14.04 服务器上安装 1.0.1j,重新编译 ruby(rbenv install 2.2.2),错误仍然存在。
我试过 monkey patch ext/openssl 但没用。
使用上面 link 中的整个密码列表是行不通的。但是,使用一小部分确实有效:
require 'net/http'
require 'openssl'
uri = URI.parse('https://some_old_server/my/path')
http = Net::HTTP.new('some_old_server', 443)
http.verify_mode = OpenSSL::SSL::VERIFY_NONE
http.use_ssl = true
http.ciphers = %w{
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
AES128-SHA
AES256-SHA
ECDHE-ECDSA-RC4-SHA
ECDHE-RSA-RC4-SHA
RC4-SHA
}.join(":")
response = http.request(Net::HTTP::Get.new(uri.request_uri))
Openssl 同意 ruby(应该如此)。 运行 这些在同一系统上复制了我在 ruby:
中看到的问题
openssl s_client -connect some_old_server:443
CONNECTED(00000003)
(...)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 295 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
传递密码:
openssl s_client -cipher AES128-SHA -connect some_old_server:443
CONNECTED(00000003)
(...)
---
No client certificate CA names sent
---
SSL handshake has read 2721 bytes and written 425 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES128-SHA
Session-ID: removed
Session-ID-ctx:
Master-Key: removed
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1454394952
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
我在某处阅读以供使用
http.ssl_options = OpenSSL::SSL::OP_ALL
但是 ssl_options 在 ruby 2.2.2 上的 Net::HTTP 中不可用。
在这上面花了比我愿意承认的更多的时间之后,我的解决方案是从 Ubuntu 14.04 升级到 OpenSSL 1.0.2d 9 Jul 2015.
附带的 15.10
虽然使用 openssl CLI 的 TLS 协商仍然挂起,但在 Ruby 中它不会:
require 'net/http'
require 'openssl'
require 'pp'
uri = URI.parse('https://broken_server/my/path')
http = Net::HTTP.new('broken_server', 443)
http.instance_eval {
@ssl_context = OpenSSL::SSL::SSLContext.new
@ssl_context.set_params({:options=>OpenSSL::SSL::OP_ALL})
}
http.verify_mode = OpenSSL::SSL::VERIFY_NONE
http.use_ssl = true
pp response = http.request(Net::HTTP::Get.new(uri.request_uri))
.
上面的 CLI 等价物是 turned-on with the -bugs option:
openssl s_client -bugs -connect broken_server:443
经过漫长的一天,我终于查明了我认为是 SSL/TLS 与不支持最新和最好版本的服务器的密码协商问题。
堆栈:
- Ubuntu 14.04 完全修补
- OpenSSL 1.0.1f 2014 年 1 月 6 日
- IRB 0.9.6(09/06/30)
- ruby 2.2.2p95(2015-04-13 修订版 50295)[x86_64-linux](使用 rbenv)
60 秒后,下面的代码片段给我一个错误:
require 'net/http'
require 'openssl'
uri = URI.parse('https://some_old_server/my/path')
http = Net::HTTP.new('some_old_server', 443)
http.verify_mode = OpenSSL::SSL::VERIFY_NONE
http.use_ssl = true
response = http.request(Net::HTTP::Get.new(uri.request_uri))
Errno::ECONNRESET: Connection reset by peer - SSL_connect
如果我将此添加到代码中,它会起作用:
(...)
http.ciphers = ['AES128-SHA']
(...)
=> #<Net::HTTPOK 200 OK readbody=true>
这不是 ruby 特有的问题,但理想情况下有 ruby 解决方案。我无法将密码锁定为 'AES128-SHA',因为相同的代码处理许多可能支持也可能不支持此密码的站点。
有没有人遇到过这个问题并找到了通用的解决方案?
编辑:这似乎是由“TLS hang bug" and was fixed in openssl 1.0.1g.
新问题:是否有可以在 ruby 端实施的解决方法?
更多信息。
Gentoo 服务器 运行 OpenSSL 1.0.1j 2014 年 10 月 15 日没有这个问题。我尝试在 Ubuntu 14.04 服务器上安装 1.0.1j,重新编译 ruby(rbenv install 2.2.2),错误仍然存在。
我试过 monkey patch ext/openssl 但没用。
使用上面 link 中的整个密码列表是行不通的。但是,使用一小部分确实有效:
require 'net/http'
require 'openssl'
uri = URI.parse('https://some_old_server/my/path')
http = Net::HTTP.new('some_old_server', 443)
http.verify_mode = OpenSSL::SSL::VERIFY_NONE
http.use_ssl = true
http.ciphers = %w{
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
AES128-SHA
AES256-SHA
ECDHE-ECDSA-RC4-SHA
ECDHE-RSA-RC4-SHA
RC4-SHA
}.join(":")
response = http.request(Net::HTTP::Get.new(uri.request_uri))
Openssl 同意 ruby(应该如此)。 运行 这些在同一系统上复制了我在 ruby:
中看到的问题openssl s_client -connect some_old_server:443
CONNECTED(00000003)
(...)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 295 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
传递密码:
openssl s_client -cipher AES128-SHA -connect some_old_server:443
CONNECTED(00000003)
(...)
---
No client certificate CA names sent
---
SSL handshake has read 2721 bytes and written 425 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES128-SHA
Session-ID: removed
Session-ID-ctx:
Master-Key: removed
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1454394952
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
我在某处阅读以供使用
http.ssl_options = OpenSSL::SSL::OP_ALL
但是 ssl_options 在 ruby 2.2.2 上的 Net::HTTP 中不可用。
在这上面花了比我愿意承认的更多的时间之后,我的解决方案是从 Ubuntu 14.04 升级到 OpenSSL 1.0.2d 9 Jul 2015.
虽然使用 openssl CLI 的 TLS 协商仍然挂起,但在 Ruby 中它不会:
require 'net/http'
require 'openssl'
require 'pp'
uri = URI.parse('https://broken_server/my/path')
http = Net::HTTP.new('broken_server', 443)
http.instance_eval {
@ssl_context = OpenSSL::SSL::SSLContext.new
@ssl_context.set_params({:options=>OpenSSL::SSL::OP_ALL})
}
http.verify_mode = OpenSSL::SSL::VERIFY_NONE
http.use_ssl = true
pp response = http.request(Net::HTTP::Get.new(uri.request_uri))
上面的 CLI 等价物是 turned-on with the -bugs option:
openssl s_client -bugs -connect broken_server:443