बग स्टनलाइन सर्वर की स्थापना: `SSL3_GET_CLIENT_HELLO: गलत संस्करण संख्या`


9

मैं stunnelWindows XP पर एक सर्वर स्थापित कर रहा हूं , और जब ग्राहक पहुंचता है तो मुझे यह बग मिलता है:

2013.02.14 00:02:16 LOG7[8848:7664]: Service [https] accepted (FD=320) from 107.20.36.147:56160
2013.02.14 00:02:16 LOG7[8848:7664]: Creating a new thread
2013.02.14 00:02:16 LOG7[8848:7664]: New thread created
2013.02.14 00:02:16 LOG7[8848:9792]: Service [https] started
2013.02.14 00:02:16 LOG5[8848:9792]: Service [https] accepted connection from 107.20.36.147:56160
2013.02.14 00:02:16 LOG7[8848:9792]: SSL state (accept): before/accept initialization
2013.02.14 00:02:16 LOG7[8848:9792]: SSL alert (write): fatal: handshake failure
2013.02.14 00:02:16 LOG3[8848:9792]: SSL_accept: 1408A10B: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
2013.02.14 00:02:16 LOG5[8848:9792]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2013.02.14 00:02:16 LOG7[8848:9792]: Local socket (FD=320) closed
2013.02.14 00:02:16 LOG7[8848:9792]: Service [https] finished (0 left)

किसी भी विचार इस बारे में क्या करना है? मैंने ऑनलाइन पढ़ा कि इसका मतलब यह हो सकता है कि मेरा सर्वर विज्ञापन है कि यह एसएसएल 3 में संचार कर सकता है लेकिन यह वास्तव में नहीं हो सकता है। अगर यह सच है तो मैं जानना चाहता हूं कि मैं इसे कैसे ठीक कर सकता हूं। मैं stunnel.confफ़ाइल का संपादन कर रहा हूँ, लेकिन मुझे नहीं पता कि इसे ठीक करने के लिए इसमें क्या बदलाव करना है।

अपडेट करें:

उपरोक्त त्रुटि संदेश केवल तब दिखाई देता है जब Twilio क्लाइंट (अर्थात Twilio का सर्वर) मेरे सर्वर तक पहुंचने का प्रयास करता है। जब मैं अपने सर्वर को अपने कंप्यूटर से एक्सेस करने का प्रयास करता हूं, तो पेज दिखाई देता है, लेकिन सामग्री दिखाने के बाद, क्रोम पेज को लगभग 30 सेकंड के लिए "लोडिंग" के रूप में दिखाता है, जिसके अंत में stunnelयह संदेश देता है:

transfer: s_poll_wait: TIMEOUTclose exceeded: closing

अपडेट करें:

यहाँ वायरशार्क कैप्चर किया गया है: https://gist.github.com/cool-RR/4963477

कैप फ़ाइल: https://dl.dropbox.com/u/1927707/wireshark.cap

ध्यान दें कि सर्वर पोर्ट 8088 पर चलता है।

अपडेट करें:

यहाँ सर्वर से लॉग है (डीबग = 7 के साथ):

2013.02.17 17:06:52 LOG7[7636:2092]: No limit detected for the number of clients
2013.02.17 17:06:52 LOG5[7636:2092]: stunnel 4.54 on x86-pc-msvc-1500 platform
2013.02.17 17:06:52 LOG5[7636:2092]: Compiled/running with OpenSSL 1.0.1c-fips 10 May 2012
2013.02.17 17:06:52 LOG5[7636:2092]: Threading:WIN32 SSL:+ENGINE+OCSP+FIPS Auth:none Sockets:SELECT+IPv6
2013.02.17 17:06:52 LOG5[7636:2092]: Reading configuration from file stunnel.conf
2013.02.17 17:06:52 LOG5[7636:2092]: FIPS mode is enabled
2013.02.17 17:06:52 LOG7[7636:2092]: Compression not enabled
2013.02.17 17:06:52 LOG7[7636:2092]: Snagged 64 random bytes from C:\Documents and Settings\User/.rnd
2013.02.17 17:06:52 LOG7[7636:2092]: Wrote 1024 new random bytes to C:\Documents and Settings\User/.rnd
2013.02.17 17:06:52 LOG7[7636:2092]: PRNG seeded successfully
2013.02.17 17:06:52 LOG6[7636:2092]: Initializing service [https]
2013.02.17 17:06:52 LOG7[7636:2092]: Certificate: G:\Dropbox\StartSSL\SSL Cert.pem
2013.02.17 17:06:52 LOG7[7636:2092]: Certificate loaded
2013.02.17 17:06:52 LOG7[7636:2092]: Key file: G:\Dropbox\StartSSL\SSL Cert.pem
2013.02.17 17:06:52 LOG7[7636:2092]: Private key loaded
2013.02.17 17:06:52 LOG7[7636:2092]: Could not load DH parameters from G:\Dropbox\StartSSL\SSL Cert.pem
2013.02.17 17:06:52 LOG7[7636:2092]: Using hardcoded DH parameters
2013.02.17 17:06:52 LOG7[7636:2092]: DH initialized with 2048-bit key
2013.02.17 17:06:52 LOG7[7636:2092]: ECDH initialized with curve prime256v1
2013.02.17 17:06:52 LOG7[7636:2092]: SSL options set: 0x03000004
2013.02.17 17:06:52 LOG5[7636:2092]: Configuration successful
2013.02.17 17:06:52 LOG7[7636:2092]: Service [https] (FD=268) bound to 0.0.0.0:8088
2013.02.17 17:07:08 LOG7[7636:2092]: Service [https] accepted (FD=320) from 54.242.25.199:45922
2013.02.17 17:07:08 LOG7[7636:2092]: Creating a new thread
2013.02.17 17:07:08 LOG7[7636:2092]: New thread created
2013.02.17 17:07:08 LOG7[7636:8004]: Service [https] started
2013.02.17 17:07:08 LOG5[7636:8004]: Service [https] accepted connection from 54.242.25.199:45922
2013.02.17 17:07:08 LOG7[7636:8004]: SSL state (accept): before/accept initialization
2013.02.17 17:07:08 LOG7[7636:8004]: SSL alert (write): fatal: handshake failure
2013.02.17 17:07:08 LOG3[7636:8004]: SSL_accept: 1408A10B: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
2013.02.17 17:07:08 LOG5[7636:8004]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2013.02.17 17:07:08 LOG7[7636:8004]: Local socket (FD=320) closed
2013.02.17 17:07:08 LOG7[7636:8004]: Service [https] finished (0 left)

अपडेट करें:

यहाँ मेरी stunnel.confफाइल है।


ड्रॉपबॉक्स फ़ाइल गुम लगती है। सर्वर HTTP / 404
Mircea Vutcovici

@MirceaVutcovici क्षमा करें, अब ठीक हो गया है।
राम रचूम

मैंने प्रश्न पर इनाम को 100 अंक तक बढ़ा दिया।
राम रचूम

1
आप stunnel.conf फ़ाइल को भी शामिल कर सकते हैं? क्योंकि ऐसा लगता है कि आपका सर्वर SSLv3.0 कनेक्शन
स्टीफन

अब इसे शामिल करें
राम रचूम

जवाबों:


3

आपको एक नेटवर्क कैप्चर करना चाहिए और देखना चाहिए कि इसे अस्वीकार क्यों किया गया। दोनों छोरों पर लॉग की भी जाँच करें। debugStunnel conf में स्तर बढ़ाएँ ।

आपको यह पता लगाने के लिए एक नेटवर्क ट्रेस बनाने की जरूरत है कि क्लाइंट किस SSL प्रोटोकॉल का वर्जन सपोर्ट कर रहा है। फिर सुनिश्चित करें कि आपका सर्वर उस संस्करण का भी समर्थन करता है।

एक क्लाइंट एक क्लाइंटहेल्लो संदेश भेजता है जो उच्चतम टीएलएस प्रोटोकॉल संस्करण का समर्थन करता है, यह एक यादृच्छिक संख्या, सुझाए गए सिफरसाइट्स और सुझाए गए संपीड़न विधियों की एक सूची है।

स्रोत

कृपया ध्यान दें कि पुनर्निवेश में सुरक्षा बग के कारण SSL प्रोटोकॉल कुछ साल पहले बदल दिया गया था। CVE-2009-3555 और SSL Renegotiation पर यह पृष्ठ देखें

सर्वर इसका जवाब दे रहा है:

Secure Sockets Layer
    SSLv3 Record Layer: Alert (Level: Fatal, Description: Handshake Failure)
        Content Type: Alert (21)
        Version: SSL 3.0 (0x0300)
        Length: 2
        Alert Message
            Level: Fatal (2)
            Description: Handshake Failure (40)

आपको एसएसएल सर्वर पर लॉग की जांच करनी होगी कि उसने कनेक्शन से इनकार क्यों किया है। एसएसएल डिबगिंग को स्टनलाइन पर सक्षम करने का प्रयास करें debug=7:।

stunnelसर्वर है options = NO_SSLv3, लेकिन ग्राहक SSLv3 का उपयोग कर कनेक्ट करने के लिए कोशिश कर रहा है। SSL के नए संस्करण का समर्थन करने के लिए आपको क्लाइंट को अपग्रेड करना होगा या stunnelSSLv3 को स्वीकार करने के लिए आपको कॉन्फ़िगरेशन को बदलना होगा ।


मैंने अधिक विवरण के साथ प्रश्न को अपडेट किया है। क्या आपको अभी भी नेटवर्क कैप्चर करने की आवश्यकता है?
राम रचूम

हां, यह जानने के लिए कि कौन सा संस्करण एसएसएल क्लाइंट द्वारा समर्थित है।
Mircea Vutcovici

मैंने एक Wireshark कैप्चर किया है और इसे प्रश्न में जोड़ा है।
राम रचूम

1
ठीक है, समस्या यह है कि आपके पास FIPS मोड सक्षम है (यह डिफ़ॉल्ट रूप से सक्षम है, जो FIPS के साथ संकलित किया गया है) और वह ग्राहक SSLv3 (मुझे लगता है, आपको लॉग या नेटवर्क कैप्चर से पुष्टि करनी है) का उपयोग करने की कोशिश कर रहा है। लेकिन FIPS केवल TLSv1 या नए के साथ काम कर रहा है।
मिरिकिया वुटकोविसी

1
आपके पास 2 समाधान हैं: 1. SSL क्लाइंट (टवीलियो) को अपग्रेड करें। 2. fips = noविकलांगों के अनुपालन को अक्षम करें, और सुरक्षा को कम करके, stunnel.conf को जोड़कर
Mircea Vutcovici

0

यह क्लाइंट और सर्वर के बीच एक SSL संस्करण बेमेल हो सकता है। सुनिश्चित करें कि क्लाइंट पर एसएसएल 3 के लिए क्लाइंट को केवल कॉन्फ़िगर किया गया है, क्लाइंट पर पुराने एसएसएल संस्करणों को अक्षम करके।


मुझे नहीं पता कि कैसे करना है।
राम रचूम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.