SSL рукопожатие с CentOS, curl и ECDHE

Question

SSL рукопожатие с CentOS, curl и ECDHE

Поскольку я ограничил свои шифры ECDHE из-за уязвимостей Logjam, я больше не могу делать скручивание с машины Centos. (работает из Ubuntu)

$ curl -v https://mysite.mydomain.com
 * Initializing NSS with certpath: sql:/etc/pki/nssdb
 *   CAfile: /etc/pki/tls/certs/ca-bundle.crt   CApath: none
 * NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP)
 * Cannot communicate securely with peer: no common encryption algorithm(s).

Открытие с openssl работами:

$ openssl s_client -connect mysite.mydomain.com:443 
   SSL-Session:
     Protocol  : TLSv1.2
     Cipher    : ECDHE-RSA-AES256-GCM-SHA384

Я попытался с явным шифром, --insecure и --tlsv1.2, не повезло

$ curl --ciphers TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 -v https://mysite.mydomain.com
curl: (59) Unknown cipher in list: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Изменить: попытался с правильным именем шифра NSS, и менее чем 384 бит:

curl --ciphers ecdhe_rsa_aes_128_sha_256 https://mysite.mydomain.com
* Connected to xxx (xxx) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* Unknown cipher in list: ecdhe_rsa_aes_128_sha_256
* Closing connection 0
curl: (59) Unknown cipher in list: ecdhe_rsa_aes_128_sha_256

Нашел эту ошибку https://bugzilla.redhat.com/show_bug.cgi?id=1185708 но это не помогло мне пройти мимо этого.

SSLLabs сообщает о тех шифрах, которые поддерживаются:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH 256 bits (eq. 3072 bits RSA)   FS    256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH 256 bits (eq. 3072 bits RSA)   FS    128

1

centos ssl nss logjam

Источник

Bastien974 03 июл '15 в 19:47

1 ответ

Решение

Другие вопросы по тегам centos ssl nss logjam

Steffen Ullrich 03 июл '15 в 20:09 2015-07-03 20:09 · Accepted Answer · 2015-07-03 20:09

RHEL/CentOS не включает ECC по умолчанию в NSS. Вы должны явно указать, какие шифры вы хотите, например,

curl --ciphers ecdhe_rsa_aes_128_gcm_sha_256  ....

или любой другой шифр, поддерживаемый вашим сервером, а также поддерживаемый вашей версией curl/NSS.

См. https://stackoverflow.com/a/31108631/3081018 для получения дополнительной информации.

Я попытался с явным шифром, --insecure и --tlsv1.2, не повезло

Эта проблема не связана с проверкой сертификата, поэтому --insecure не поможет

curl - шифры TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Имена шифров с NSS и OpenSSL различны, и, поскольку вы используете curl с NSS, вы должны использовать синтаксис NSS. См. https://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.html чтобы узнать, как должны быть указаны шифры.

Кроме того, поддержка ECC с NSS доступна только начиная с версии 7.36.