IO::Socket::SSL - hostname verification failed (gelöst) (Fragen zu Perl-Modulen)

[thread]21203[/thread]

IO::Socket::SSL - hostname verification failed [gelöst]

Tags: perl5 Ähnliche Threads

Leser: 5

Articles: hide open all | hide show old branches

+4 replies
bianca

2021-06-20 09:03

User since
2009-09-13
7016 Artikel
BenutzerIn

Guten Morgen!

Eine Frage zu IO::Socket::SSL 2.067: bei einer FTP-Verbindung zu einem Server mit Let's Encrypt Zertifikat wirft das Modul im Debug diesen Abschnitt:

Quote
Net::FTP=GLOB(0x5610fe4f0290)>>> AUTH TLS
Net::FTP=GLOB(0x5610fe4f0290)<<< 234 AUTH TLS successful
DEBUG: .../IO/Socket/SSL.pm:787: ssl handshake not started
DEBUG: .../IO/Socket/SSL.pm:829: using SNI with hostname zielurl_.de
DEBUG: .../IO/Socket/SSL.pm:864: request OCSP stapling
DEBUG: .../IO/Socket/SSL.pm:3158: get_session(zielurl_.de) -> none
DEBUG: .../IO/Socket/SSL.pm:880: set socket to non-blocking to enforce timeout=60
DEBUG: .../IO/Socket/SSL.pm:894: call Net::SSLeay::connect
DEBUG: .../IO/Socket/SSL.pm:897: done Net::SSLeay::connect -> -1
DEBUG: .../IO/Socket/SSL.pm:907: ssl handshake in progress
DEBUG: .../IO/Socket/SSL.pm:917: waiting for fd to become ready: SSL wants a read first
DEBUG: .../IO/Socket/SSL.pm:937: socket ready, retrying connect
DEBUG: .../IO/Socket/SSL.pm:894: call Net::SSLeay::connect
DEBUG: .../IO/Socket/SSL.pm:2864: ok=1 [2] /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
DEBUG: .../IO/Socket/SSL.pm:2864: ok=1 [1] /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
DEBUG: .../IO/Socket/SSL.pm:2864: ok=1 [0] /C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2/CN=*.url_vom_hoster_.de
DEBUG: .../IO/Socket/SSL.pm:1840: scheme=ftp cert=94630986491056
DEBUG: .../IO/Socket/SSL.pm:1850: identity=zielurl_.de cn=*.url_vom_hoster_.de alt=2 *.url_vom_hoster_.de 2 url_vom_hoster_.de
DEBUG: .../IO/Socket/SSL.pm:2865: local error: hostname verification failed
DEBUG: .../IO/Socket/SSL.pm:897: done Net::SSLeay::connect -> -1
DEBUG: .../IO/Socket/SSL.pm:900: SSL connect attempt failed

DEBUG: .../IO/Socket/SSL.pm:900: ignoring less severe local error 'SSL connect attempt failed error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed', keep 'hostname verification failed'
DEBUG: .../IO/Socket/SSL.pm:903: fatal SSL error: hostname verification failed
FEHLER: AUTH TLS successful
DEBUG: .../IO/Socket/SSL.pm:3059: free ctx 94630984717792 open=94630984717792
DEBUG: .../IO/Socket/SSL.pm:3063: free ctx 94630984717792 callback
DEBUG: .../IO/Socket/SSL.pm:3070: OK free ctx 94630984717792

Ich kann mir mit dem Schalter SSL_verify_mode => $IO::Socket::SSL::SSL_VERIFY_NONE helfen aber lieber wäre mir, die Fehlerursache zu beheben.
Dafür müsste ich diese aber kennen und deshalb lautet meine Frage, warum die Zertifikatsprüfung hier fehlschlägt und wie ich das beheben kann?
Bedanke mich für jede Hilfe und wünsche einen schönen Sonntag!
10 print "Hallo"
20 goto 10
- haj
  
  2021-06-20 11:28
  User since
  2015-01-07
  555 Artikel
  BenutzerIn
  Ich vermute, die spannenden Sachen sind die, die Du mit *.url_vom_hoster_.de und zielurl.de maskiert hast. Der Name, der in dem Zertifikat steht, muss mit dem übereinstimmen, den Du in Deinem FTP-Client verwendest.
  
  Das, was Dir IO::Socket::SSL hier zeigt, ist kein Let's Encrypt-Zertifikat: Es sieht so aus, als habe der Hoster für seinen FTP-Dienst ein Wildcard-Zertifikat von GlobalSign im Einsatz. Die relevante Zeile ist die:
  
  Code: (dl )
  
  DEBUG: .../IO/Socket/SSL.pm:1850: identity=zielurl_.de cn=*.url_vom_hoster_.de alt=2 *.url_vom_hoster_.de 2 url_vom_hoster_.de
  
  Das besagt, dass die "identity" (d.h. wo Du hinwillst) nicht von den cn (common names) des Zertifikats abgedeckt ist.
  
  Ich gehe mal davon aus, dass der Hoster Dir neben Deiner Ziel-Url auch immer den gleichen Namen in seinem Netzwerk kundebianca.url_vom_hoster.de anbietet. Diese URL kannst Du auch im FTP-Client verwenden - oder aber zumindest für die Zertifikatsprüfung verwenden, indem Du diesen Namen als SSL_verifycn_name in Deinen SSL-Parametern angibst (ist in IO::Socket::SSL zu finden).
  
  Die Alternative wäre, den Hoster dazu zu bewegen, Dein Let's-Encrypt-Zertifikat (das Du vermutlich für https verwendest) auch für FTP einzusetzen.
- GwenDragon
  
  2021-06-20 17:23
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  https://metacpan.org/pod/IO::Socket::SSL#Essential-Information-About-SSL/TLS
  When connecting to a server this is usually done by comparing the hostname used for connecting against the names represented in the certificate. A certificate might contain multiple names or wildcards, so that it can be used for multiple hosts (e.g. *.example.com and *.example.org).
  
  Sendest du denn einen Hostname, wenn du per SSL verbindest?
  https://metacpan.org/pod/IO::Socket::SSL#Basic-SSL...
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- bianca
  
  2021-06-21 08:30
  
  User since
  2009-09-13
  7016 Artikel
  BenutzerIn
  
  Der für den Verbindungsaufbau verwendete URL heißt zielurl_.de
  
  Und nachdem ich mal praef.url_vom_hoster_.de verwendet habe ging es sofort!
  Das ist mir einfach nicht eingefallen. Aber wenn ich das jetzt so sehe ist es klar.
  
  DANKE EUCH!
  
  Ich frage mal beim Hoster nach.
  10 print "Hallo"
  20 goto 10

View all threads created 2021-06-20 09:03.