PHP 握手失败 TLS1.0
PHP handshake fail TLS1.0
我尝试通过 fsockopen
连接到 465
端口上的 sendm.cert.legalmail.it
,SMTPS 服务在意大利称为 PEC。
对于 PHP 的任何版本,我都尝试过这个片段工作:
<?php
fsockopen('tls://sendm.cert.legalmail.it', 465);
OpenSSL 1.0.2h
一切正常,如果我升级到 OpenSSL 1.0.2j
,此代码段将失败并出现此错误:
PHP Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages:
error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure in ~/Development/experimental/php-handshake/connect.php on line 3
PHP Warning: fsockopen(): Failed to enable crypto in ~/Development/experimental/php-handshake/connect.php on line 3
PHP Warning: fsockopen(): unable to connect to tls://sendm.cert.legalmail.it:465 (Unknown error) in ~/Development/experimental/php-handshake/connect.php on line 3
因此 OpenSSL 1.0.2j
我尝试通过命令行连接:
openssl s_client -connect sendm.cert.legalmail.it:465
效果很好。
我尝试使用 testssl 检查服务器上的 SSL 这是转储(已剥离):
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 not offered
TLS 1.2 not offered
Version tolerance downgraded to TLSv1.0 (OK)
只有 TLS 1
可用,我尝试使用此 uri 强制握手到 TLS1:'tlsv1.0:://sendm.cert.legalmail.it'
但结果是一样的。
我在 Ubuntu 16.04,用 PHP5.6 和 PHP7.1.
测试
错误在哪里?在 openssl 中?在 PHP?在服务器握手中?
更新 如果我总是用 ./testssl.sh -E sendm.cert.legalmail.it:465
和 OpenSSL 1.0.2j
查看 chiper return:
x05 RC4-SHA RSA RC4 128 TLS_RSA_WITH_RC4_128_SHA
x04 RC4-MD5 RSA RC4 128 TLS_RSA_WITH_RC4_128_MD5
x16 EDH-RSA-DES-CBC3-SHA DH 1024 3DES 168 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
x0a DES-CBC3-SHA RSA 3DES 168 TLS_RSA_WITH_3DES_EDE_CBC_SHA
x15 EDH-RSA-DES-CBC-SHA DH 1024 DES 56 TLS_DHE_RSA_WITH_DES_CBC_SHA
x09 DES-CBC-SHA RSA DES 56 TLS_RSA_WITH_DES_CBC_SHA
x14 EXP-EDH-RSA-DES-CBC-SHA DH(512) DES 40,exp TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
x08 EXP-DES-CBC-SHA RSA(512) DES 40,exp TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
x06 EXP-RC2-CBC-MD5 RSA(512) RC2 40,exp TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
x03 EXP-RC4-MD5 RSA(512) RC4 40,exp TLS_RSA_EXPORT_WITH_RC4_40_MD5
版本OpenSSL 1.0.2h
x05 RC4-SHA RSA RC4 128
x04 RC4-MD5 RSA RC4 128
x16 EDH-RSA-DES-CBC3-SHA DH 1024 3DES 168
x0a DES-CBC3-SHA RSA 3DES 168
并且 php const OPENSSL_DEFAULT_STREAM_CIPHERS
在它包含的所有版本中都是相同的:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!SSLv2:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!RC4:!ADH
完全编辑答案:在此处查看答案
这可能是 fsock 和 curl 的原因。
虽然他的问题是关于 windows / xampp,但我想这会有所帮助,我想升级 OS 的人没有将 php.ini 与新版本合并
好的,经过一些研究我找到了原因:
PHP 有一个 OPENSSL_DEFAULT_STREAM_CIPHERS
,其中包含 openssl 的默认查询,使用此命令:
openssl ciphers -v `php -r 'echo OPENSSL_DEFAULT_STREAM_CIPHERS;'`
我得到所有密码 PHP 可以处理当前安装的 openssl 版本。
在 1.0.2h
和 1.0.2j
之间,相同的查询 return 不同的密码列出了对这些的放弃支持:
EDH-RSA-DES-CBC3-SHA
DES-CBC3-SHA
所以默认情况下 PHP 无法正确处理连接,但是如果我用这个密码强制 $context
连接就会发生:
$context = stream_context_create(
[
'ssl' => [
'ciphers' => 'EDH-RSA-DES-CBC3-SHA:DES-CBC3-SHA',
],
]
);
$fp = stream_socket_client(
'tls://sendm.cert.legalmail.it:465',
$errno,
$errstr,
30,
STREAM_CLIENT_CONNECT,
$context
);
对于遇到同样问题的其他人:似乎 Legalmail TLS 服务器现在支持 TLSv1.2,因此这不再是他们的问题。
我尝试通过 fsockopen
连接到 465
端口上的 sendm.cert.legalmail.it
,SMTPS 服务在意大利称为 PEC。
对于 PHP 的任何版本,我都尝试过这个片段工作:
<?php
fsockopen('tls://sendm.cert.legalmail.it', 465);
OpenSSL 1.0.2h
一切正常,如果我升级到 OpenSSL 1.0.2j
,此代码段将失败并出现此错误:
PHP Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages:
error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure in ~/Development/experimental/php-handshake/connect.php on line 3
PHP Warning: fsockopen(): Failed to enable crypto in ~/Development/experimental/php-handshake/connect.php on line 3
PHP Warning: fsockopen(): unable to connect to tls://sendm.cert.legalmail.it:465 (Unknown error) in ~/Development/experimental/php-handshake/connect.php on line 3
因此 OpenSSL 1.0.2j
我尝试通过命令行连接:
openssl s_client -connect sendm.cert.legalmail.it:465
效果很好。
我尝试使用 testssl 检查服务器上的 SSL 这是转储(已剥离):
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 not offered
TLS 1.2 not offered
Version tolerance downgraded to TLSv1.0 (OK)
只有 TLS 1
可用,我尝试使用此 uri 强制握手到 TLS1:'tlsv1.0:://sendm.cert.legalmail.it'
但结果是一样的。
我在 Ubuntu 16.04,用 PHP5.6 和 PHP7.1.
测试错误在哪里?在 openssl 中?在 PHP?在服务器握手中?
更新 如果我总是用 ./testssl.sh -E sendm.cert.legalmail.it:465
和 OpenSSL 1.0.2j
查看 chiper return:
x05 RC4-SHA RSA RC4 128 TLS_RSA_WITH_RC4_128_SHA
x04 RC4-MD5 RSA RC4 128 TLS_RSA_WITH_RC4_128_MD5
x16 EDH-RSA-DES-CBC3-SHA DH 1024 3DES 168 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
x0a DES-CBC3-SHA RSA 3DES 168 TLS_RSA_WITH_3DES_EDE_CBC_SHA
x15 EDH-RSA-DES-CBC-SHA DH 1024 DES 56 TLS_DHE_RSA_WITH_DES_CBC_SHA
x09 DES-CBC-SHA RSA DES 56 TLS_RSA_WITH_DES_CBC_SHA
x14 EXP-EDH-RSA-DES-CBC-SHA DH(512) DES 40,exp TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
x08 EXP-DES-CBC-SHA RSA(512) DES 40,exp TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
x06 EXP-RC2-CBC-MD5 RSA(512) RC2 40,exp TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
x03 EXP-RC4-MD5 RSA(512) RC4 40,exp TLS_RSA_EXPORT_WITH_RC4_40_MD5
版本OpenSSL 1.0.2h
x05 RC4-SHA RSA RC4 128
x04 RC4-MD5 RSA RC4 128
x16 EDH-RSA-DES-CBC3-SHA DH 1024 3DES 168
x0a DES-CBC3-SHA RSA 3DES 168
并且 php const OPENSSL_DEFAULT_STREAM_CIPHERS
在它包含的所有版本中都是相同的:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!SSLv2:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!RC4:!ADH
完全编辑答案:在此处查看答案
这可能是 fsock 和 curl 的原因。 虽然他的问题是关于 windows / xampp,但我想这会有所帮助,我想升级 OS 的人没有将 php.ini 与新版本合并
好的,经过一些研究我找到了原因:
PHP 有一个 OPENSSL_DEFAULT_STREAM_CIPHERS
,其中包含 openssl 的默认查询,使用此命令:
openssl ciphers -v `php -r 'echo OPENSSL_DEFAULT_STREAM_CIPHERS;'`
我得到所有密码 PHP 可以处理当前安装的 openssl 版本。
在 1.0.2h
和 1.0.2j
之间,相同的查询 return 不同的密码列出了对这些的放弃支持:
EDH-RSA-DES-CBC3-SHA
DES-CBC3-SHA
所以默认情况下 PHP 无法正确处理连接,但是如果我用这个密码强制 $context
连接就会发生:
$context = stream_context_create(
[
'ssl' => [
'ciphers' => 'EDH-RSA-DES-CBC3-SHA:DES-CBC3-SHA',
],
]
);
$fp = stream_socket_client(
'tls://sendm.cert.legalmail.it:465',
$errno,
$errstr,
30,
STREAM_CLIENT_CONNECT,
$context
);
对于遇到同样问题的其他人:似乎 Legalmail TLS 服务器现在支持 TLSv1.2,因此这不再是他们的问题。