Fórum Root.cz
Hlavní témata => Server => Téma založeno: Dzavy 06. 03. 2015, 12:15:57
-
Testuju SSL pomoci openssl s_client a setkavam se u nekterych klientu obcas s timhle problemem:
$ openssl s_client -showcerts -msg -connect xxx.com:443
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
Dulezite je tam to "written 0 bytes" - tj. ten klient SSL handshake ani nezacne. Tcpdump to potvrzuje - probehne jenom TCP handshake a pote jenom server po 10 sekundach spojeni resetne pro necinnost.
Verze openssl je 1.0.1e-fips.
Nejake napady?
-
Tak si odpovim sam, kdyby nekdy nekdo resil neco podobnyho. Zjistil jsem tyhle fakta:
- server ukoncuje spojeni po 10 sekundach necinnosti - to je OK
- klient je v Kerberos domene, tj. openssl s_client se automaticky pokousi navazat Kerberos autentizaci - neprisel jsem na to, jak to vypnout)
- PTR zaznam k IP adrese xxx.com neexistoval a DNS navic vracel SERVFAIL, protoze tam byla chyba v delegovani zon - to je ve spojitosti s Kerberosem problem
No a tak slo o to, ze openssl navazal tcp handshake a pak se snazil sehnat informace pro Kerberos autentizaci. To mu, kvuli opakovani dotazu po SERVFAIL, zabralo nekdy vic nez 10 sekund a server mezitim spojeni ukoncil.