Opened by haj at 2019-10-15 10:36
User since
2015-01-07
555 Artikel
BenutzerIn
2015-01-07
555 Artikel
BenutzerIn
Danke! Das hilft beim Eingrenzen, wenn's "anderswo" funktioniert. Bei mir läuft OpenSSL 1.1.1d, aber:
Es stellt sich heraus, dass das Problem nicht OpenSSL-Version und auch nicht die Renegotiation ist. Die Meldung ist etwas irreführend, denn so weit kommt er gar nicht. Sorry für meine Verwirrung.
Tatsächlich handelt es sich um einen Debianismus: In der Debian-Konfiguration von OpenSSL und Thunderbird für Buster sind TLS1.0 und TLS1.1 gesperrt. Wenn ich in /etc/ssl/openssl.cnf den Wert MinProtocol = TLSv1.0 setze, dann funktioniert der Verbindungsaufbau mit dem Kommando openssl s_client -connect www.perl-community.de:https genau wie bei Dir (ich spare mir die Kopie). Es schlägt allerdings fehl, wenn ich explizit eine höhere TLS-Version verlange:
Es sieht also so aus, als ob der Server nur bis TLS 1.0 mitspielt.
Das wäre dann eine Sache der Konfiguration von mod_ssl.
Es stellt sich heraus, dass das Problem nicht OpenSSL-Version und auch nicht die Renegotiation ist. Die Meldung ist etwas irreführend, denn so weit kommt er gar nicht. Sorry für meine Verwirrung.
Tatsächlich handelt es sich um einen Debianismus: In der Debian-Konfiguration von OpenSSL und Thunderbird für Buster sind TLS1.0 und TLS1.1 gesperrt. Wenn ich in /etc/ssl/openssl.cnf den Wert MinProtocol = TLSv1.0 setze, dann funktioniert der Verbindungsaufbau mit dem Kommando openssl s_client -connect www.perl-community.de:https genau wie bei Dir (ich spare mir die Kopie). Es schlägt allerdings fehl, wenn ich explizit eine höhere TLS-Version verlange:
Code: (dl
)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
haj@hajtower:~$ openssl s_client -connect www.perl-community.de:https -tls1_1
CONNECTED(00000003)
139980046656640:error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol:../ssl/statem/statem_lib.c:1929:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 58 bytes and written 141 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1571234089
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
Es sieht also so aus, als ob der Server nur bis TLS 1.0 mitspielt.
Das wäre dann eine Sache der Konfiguration von mod_ssl.