OpenSSL handshake občas nezačne

Dzavy

OpenSSL handshake občas nezačne
« kdy: 06. 03. 2015, 12:15:57 »
Testuju SSL pomoci openssl s_client a setkavam se u nekterych klientu obcas s timhle problemem:

Kód: [Vybrat]
$ openssl s_client -showcerts -msg -connect xxx.com:443
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE


Dulezite je tam to "written 0 bytes" - tj. ten klient SSL handshake ani nezacne. Tcpdump to potvrzuje - probehne jenom TCP handshake a pote jenom server po 10 sekundach spojeni resetne pro necinnost.

Verze openssl je 1.0.1e-fips.

Nejake napady?
« Poslední změna: 06. 03. 2015, 12:38:15 od Petr Krčmář »


Dzavy

Re:OpenSSL handshake občas nezačne
« Odpověď #1 kdy: 17. 03. 2015, 12:35:25 »
Tak si odpovim sam, kdyby nekdy nekdo resil neco podobnyho. Zjistil jsem tyhle fakta:

- server ukoncuje spojeni po 10 sekundach necinnosti - to je OK
- klient je v Kerberos domene, tj. openssl s_client se automaticky pokousi navazat Kerberos autentizaci - neprisel jsem na to, jak to vypnout)
- PTR zaznam k IP adrese xxx.com neexistoval a DNS navic vracel SERVFAIL, protoze tam byla chyba v delegovani zon - to je ve spojitosti s Kerberosem problem

No a tak slo o to, ze openssl navazal tcp handshake a pak se snazil sehnat informace pro Kerberos autentizaci. To mu, kvuli opakovani dotazu po SERVFAIL, zabralo nekdy vic nez 10 sekund a server mezitim spojeni ukoncil.