Nowe posty

Autor Wątek: SSL handshake failure  (Przeczytany 4032 razy)

Offline xerb

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 1
    • Zobacz profil
SSL handshake failure
« dnia: 2020-10-08, 08:29:18 »
Realizuję projekt który poprzez SOAP ma przepchnąć dane. Sam komunikat mam złożony ale przy próbie wywołania jakiegokolwiek polecenia dostaję zwrotkę

Could not connect to host

Spróbowałem przepiąć komunikację na CURL i wyszło mi z tego trochę więcej szczegółów

error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

Próba manewrowania parametrami curl'a żeby przełączyć na sslv2 skończyła się identycznym błędem. Od dostawcy oprogramowania po stronie serwera dostałem kupę różnych certyfikatów które jak się domyślam trzeba w systemie zainstalować żeby skrypt się dogadał z drugą stroną. Pliki *.CRT i *.P12 zaimportowałem, zostały mi jeszcze *.CER i *.CRL z którymi już nie wiem co zrobić - zajmuję się programowaniem a administracja dla mnie to tyle co w manualach znajdę ;).

Na maszynach testowych z których się łączę mam OSX i Debian 9, serwer SOAP zakładam że Windows. Do połączenia się z usługą po stronie przeglądarki używam uwierzytelniania po certyfikacie *.p12 i to jeszcze nawet działa dlatego podejrzewam że problem jest w konfiguracji PHP/maszyny testowej ale po przekopaniu internetów i przetestowaniu różnych opcji nic do tej pory nie zadziałało.

Czy macie może jakiś pomysł jak to poskładać żeby gadało ze sobą?

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2636
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • keybase.io/pkraszewski
Odp: SSL handshake failure
« Odpowiedź #1 dnia: 2020-10-09, 07:44:05 »
* Odpal CURL w trybie -v (verbose) albo użyj "openssl s_client" z parametrami "-showcerts -debug -security_debug_verbose"

* Absolutnie nie używaj żadnego protokołu poniżej TLS 1.2. A już na pewno żadnego nazywającego się SSL (nieważne czy SSL2 czy SSL3). Tak, wiem że formalnie (po stałych definiujących) TLS 1.x to SSL 3.(x+1). Wiele dzisiejszych bibliotek SSLowych nawet domyślnie nie wkompilowuje niczego poniżej TLS1.2 - a w najlepszym przypadku wymaga ręcznego włączenia w opcjach.
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy