Perl LWP:为什么 IO::Socket::SSL 使用 TLS 1.0,而 Net::SSL 使用 TLS 1.2?
Perl LWP: why does IO::Socket::SSL use TLS 1.0, while Net::SSL uses TLS 1.2?
当我运行以下代码时:
use strict;
use warnings;
use IO::Socket::SSL;
use LWP::UserAgent;
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
});
my $res = $ua->get('https://internal.foo.bar.baz:20002');
print $res->as_string;
我从 LWP 收到一个内部错误:
500 Can't connect to internal.foo.bar.baz:20002 (Bad file descriptor)
Content-Type: text/plain
Client-Date: Fri, 29 Jun 2018 21:23:13 GMT
Client-Warning: Internal response
Can't connect to internal.foo.bar.baz:20002 (Bad file descriptor)
Bad file descriptor at D:/strawberry/perl/site/lib/LWP/Protocol/http.pm line 50.
网络流量显示它是一个 "client hello",随后立即从服务器重置,并且协议是 TLSv1。服务器只允许 TLS 1.2 连接,所以这是有道理的。
当我更改我的代码以指定客户端应该仅使用 TLS 1.2 时,我得到了相同的响应。
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
SSL_version => 'TLSv1_2',
});
事实上,网络流量看起来是一样的:
当我明确使用 Net::SSL 而不是 IO::Socket::SSL 时:
use strict;
use warnings;
use Net::SSL;
use LWP::UserAgent;
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
});
my $res = $ua->get('https://internal.foo.bar.baz:20002');
print $res->as_string;
有效:
HTTP/1.1 401 Unauthorized
Date: Fri, 29 Jun 2018 21:33:35 GMT
Server: Kestrel
Client-Date: Fri, 29 Jun 2018 21:33:37 GMT
Client-Peer: ***.**.**.209:20002
Client-Response-Num: 1
Client-SSL-Cert-Issuer: *******************************************************
Client-SSL-Cert-Subject: **************************************************************************
Client-SSL-Cipher: ECDHE-RSA-AES256-SHA384
Client-SSL-Socket-Class: Net::SSL
Client-SSL-Warning: Peer certificate not verified
Client-Transfer-Encoding: chunked
Client-Warning: Missing Authenticate header
Strict-Transport-Security: max-age=2592000
X-Powered-By: ASP.NET
并且协议正确设置为 TLSv1.2:
奇怪的是,analyze-ssl.pl 与 IO::Socket::SSL 协商 TLS 1.2:
-- internal.foo.bar.baz port 20002
! using certificate verification (default) -> SSL connect attempt failed error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
* maximum SSL version : TLSv1_2 (SSLv23)
* supported SSL versions with handshake used and preferred cipher(s):
* handshake protocols ciphers
* SSLv23 TLSv1_2 ECDHE-RSA-AES256-SHA384
* TLSv1_2 TLSv1_2 ECDHE-RSA-AES256-SHA384
* TLSv1_1 FAILED: SSL connect attempt failed
* TLSv1 FAILED: SSL connect attempt failed
* cipher order by : unknown
* SNI supported : certificate verify fails without SNI
* certificate verified : FAIL: SSL connect attempt failed error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
* chain on ***.**.**.209
* [0/0] bits=2048, ocsp_uri=, *******************************************************************************************************
* [1/1] bits=2048, ocsp_uri=, *******************************************************
* [2/2] bits=2048, ocsp_uri=, ****************************************************************
如何防止 IO::Socket::SSL 尝试从 LWP 建立 TLS 1.0 连接?
- Perl 5.26.2 MSWin32-x64-多线程(草莓)
- OpenSSL 1.1.0h 2018 年 3 月 27 日
- LWP 6.34
- 网络::HTTPS 6.18
- IO::Socket::SSL 2.056
- Net::SSL 2.86
Steffen Ullrich 脚本的输出:
openssl version compiled=0x1010008f linked=0x1010008f -- OpenSSL 1.1.0h 27 Mar 2018
IO::Socket::SSL version=2.056
LWP::UserAgent version=6.34
LWP::Protocol::https version=6.07
Net::HTTPS version=6.18
它不应该按照您描述的方式运行,事实上我无法在 Win10 上使用新安装的最新 Strawberry Perl 重现您的问题,即使用您使用的相同 Perl 版本。除了目的地之外,您的第一个代码没有改变,并使用 openssl s_server -www... 作为目标。它与 TLS 1.2 完美连接,数据包捕获也清楚地显示了 TLS 1.2。
我的猜测是您的设置出了问题:可能一些较旧的 Perl 安装仍在系统上干扰或类似的东西。这种混乱的设置可能特定于您 运行 您的脚本,因为 运行ning analyze.pl 没有显示此类问题。因此,我建议实际检查脚本内部实际使用的内容,即
use strict;
use warnings;
use IO::Socket::SSL;
use LWP::UserAgent;
use LWP::Protocol::https;
printf("openssl version compiled=0x%0x linked=0x%0x -- %s\n",
Net::SSLeay::OPENSSL_VERSION_NUMBER(),
Net::SSLeay::SSLeay(),
Net::SSLeay::SSLeay_version(0));
printf("IO::Socket::SSL version=%s\n",$IO::Socket::SSL::VERSION);
printf("LWP::UserAgent version=%s\n",$LWP::UserAgent::VERSION);
printf("LWP::Protocol::https version=%s\n",$LWP::Protocol::https::VERSION);
printf("Net::HTTPS version=%s\n",$Net::HTTPS::VERSION);
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
});
my $res = $ua->get('https://internal.foo.bar.baz:20002');
print $res->as_string;
这为我提供了 LWP(6.33 与 6.34)和 Net::HTTPS(6.17 与 6.18)略有不同的新设置版本,但其余版本适合您的版本。但重要的部分可能是代码实际加载的 OpenSSL 版本。我的猜测是,在您的特定脚本设置中,它使用的不是您期望的 OpenSSL 1.1.0,而是一些不支持 TLS 1.2 的旧 OpenSSL 1.0.0 或更早版本。
由于 analyze-ssl.pl 有效,而我的测试脚本在指向同一台服务器时却没有,我开始比较它们以找出不同之处。主要区别之一是 analyze-ssl.pl 尝试与 SSL_cipher_list => '' 建立连接,事实证明这实际上就是问题所在。
更改我的 LWP::UserAgent 实例化解决了问题:
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
SSL_cipher_list => '',
});
当我运行以下代码时:
use strict;
use warnings;
use IO::Socket::SSL;
use LWP::UserAgent;
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
});
my $res = $ua->get('https://internal.foo.bar.baz:20002');
print $res->as_string;
我从 LWP 收到一个内部错误:
500 Can't connect to internal.foo.bar.baz:20002 (Bad file descriptor)
Content-Type: text/plain
Client-Date: Fri, 29 Jun 2018 21:23:13 GMT
Client-Warning: Internal response
Can't connect to internal.foo.bar.baz:20002 (Bad file descriptor)
Bad file descriptor at D:/strawberry/perl/site/lib/LWP/Protocol/http.pm line 50.
网络流量显示它是一个 "client hello",随后立即从服务器重置,并且协议是 TLSv1。服务器只允许 TLS 1.2 连接,所以这是有道理的。
当我更改我的代码以指定客户端应该仅使用 TLS 1.2 时,我得到了相同的响应。
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
SSL_version => 'TLSv1_2',
});
事实上,网络流量看起来是一样的:
当我明确使用 Net::SSL 而不是 IO::Socket::SSL 时:
use strict;
use warnings;
use Net::SSL;
use LWP::UserAgent;
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
});
my $res = $ua->get('https://internal.foo.bar.baz:20002');
print $res->as_string;
有效:
HTTP/1.1 401 Unauthorized
Date: Fri, 29 Jun 2018 21:33:35 GMT
Server: Kestrel
Client-Date: Fri, 29 Jun 2018 21:33:37 GMT
Client-Peer: ***.**.**.209:20002
Client-Response-Num: 1
Client-SSL-Cert-Issuer: *******************************************************
Client-SSL-Cert-Subject: **************************************************************************
Client-SSL-Cipher: ECDHE-RSA-AES256-SHA384
Client-SSL-Socket-Class: Net::SSL
Client-SSL-Warning: Peer certificate not verified
Client-Transfer-Encoding: chunked
Client-Warning: Missing Authenticate header
Strict-Transport-Security: max-age=2592000
X-Powered-By: ASP.NET
并且协议正确设置为 TLSv1.2:
奇怪的是,analyze-ssl.pl 与 IO::Socket::SSL 协商 TLS 1.2:
-- internal.foo.bar.baz port 20002
! using certificate verification (default) -> SSL connect attempt failed error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
* maximum SSL version : TLSv1_2 (SSLv23)
* supported SSL versions with handshake used and preferred cipher(s):
* handshake protocols ciphers
* SSLv23 TLSv1_2 ECDHE-RSA-AES256-SHA384
* TLSv1_2 TLSv1_2 ECDHE-RSA-AES256-SHA384
* TLSv1_1 FAILED: SSL connect attempt failed
* TLSv1 FAILED: SSL connect attempt failed
* cipher order by : unknown
* SNI supported : certificate verify fails without SNI
* certificate verified : FAIL: SSL connect attempt failed error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
* chain on ***.**.**.209
* [0/0] bits=2048, ocsp_uri=, *******************************************************************************************************
* [1/1] bits=2048, ocsp_uri=, *******************************************************
* [2/2] bits=2048, ocsp_uri=, ****************************************************************
如何防止 IO::Socket::SSL 尝试从 LWP 建立 TLS 1.0 连接?
- Perl 5.26.2 MSWin32-x64-多线程(草莓)
- OpenSSL 1.1.0h 2018 年 3 月 27 日
- LWP 6.34
- 网络::HTTPS 6.18
- IO::Socket::SSL 2.056
- Net::SSL 2.86
Steffen Ullrich 脚本的输出:
openssl version compiled=0x1010008f linked=0x1010008f -- OpenSSL 1.1.0h 27 Mar 2018
IO::Socket::SSL version=2.056
LWP::UserAgent version=6.34
LWP::Protocol::https version=6.07
Net::HTTPS version=6.18
它不应该按照您描述的方式运行,事实上我无法在 Win10 上使用新安装的最新 Strawberry Perl 重现您的问题,即使用您使用的相同 Perl 版本。除了目的地之外,您的第一个代码没有改变,并使用 openssl s_server -www... 作为目标。它与 TLS 1.2 完美连接,数据包捕获也清楚地显示了 TLS 1.2。
我的猜测是您的设置出了问题:可能一些较旧的 Perl 安装仍在系统上干扰或类似的东西。这种混乱的设置可能特定于您 运行 您的脚本,因为 运行ning analyze.pl 没有显示此类问题。因此,我建议实际检查脚本内部实际使用的内容,即
use strict;
use warnings;
use IO::Socket::SSL;
use LWP::UserAgent;
use LWP::Protocol::https;
printf("openssl version compiled=0x%0x linked=0x%0x -- %s\n",
Net::SSLeay::OPENSSL_VERSION_NUMBER(),
Net::SSLeay::SSLeay(),
Net::SSLeay::SSLeay_version(0));
printf("IO::Socket::SSL version=%s\n",$IO::Socket::SSL::VERSION);
printf("LWP::UserAgent version=%s\n",$LWP::UserAgent::VERSION);
printf("LWP::Protocol::https version=%s\n",$LWP::Protocol::https::VERSION);
printf("Net::HTTPS version=%s\n",$Net::HTTPS::VERSION);
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
});
my $res = $ua->get('https://internal.foo.bar.baz:20002');
print $res->as_string;
这为我提供了 LWP(6.33 与 6.34)和 Net::HTTPS(6.17 与 6.18)略有不同的新设置版本,但其余版本适合您的版本。但重要的部分可能是代码实际加载的 OpenSSL 版本。我的猜测是,在您的特定脚本设置中,它使用的不是您期望的 OpenSSL 1.1.0,而是一些不支持 TLS 1.2 的旧 OpenSSL 1.0.0 或更早版本。
由于 analyze-ssl.pl 有效,而我的测试脚本在指向同一台服务器时却没有,我开始比较它们以找出不同之处。主要区别之一是 analyze-ssl.pl 尝试与 SSL_cipher_list => '' 建立连接,事实证明这实际上就是问题所在。
更改我的 LWP::UserAgent 实例化解决了问题:
my $ua = LWP::UserAgent->new(ssl_opts => {
verify_hostname => 0,
SSL_cipher_list => '',
});