Openssl errno 104 significa che SSLv2 è disabilitato?

13

Voglio verificare se il mio server ha SSLv2 disabilitato. Lo sto facendo tentando di connettermi in remoto con openssl con il seguente comando shell.

openssl s_client -connect HOSTNAME:443 -ssl2

La maggior parte della letteratura che ho trovato su Internet dice che se vedo qualcosa di simile al seguente errore, SSLv2 è disabilitato correttamente.

29638:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Ricevo l'errore sopra riportato quando mi connetto al mio server Ubuntu con SSLv2 disabilitato in Apache Apache ma quando mi collego al mio server Windows Server 2008 R2 con SSLv2 disabilitato nel registro ottengo il seguente output ed errore.

CONNECTED(00000003)
write:errno=104

Non riesco a trovare alcuna letteratura che spieghi questo risultato ed errore. Se qualcuno potesse spiegarmi se e perché questo output ed errore significano che SSLv2 è disabilitato correttamente, lo apprezzerei.

Grazie!

ssl  openssl 
David
fonte

Risposte:

14

Almeno su Linux, 104 è ECONNRESETper "Connessione reimpostata dal peer" - in altre parole, la connessione è stata forzatamente chiusa con un pacchetto TCP RST, inviato dal server o contraffatto da un intermediario.

Vorrei provare Wireshark / tshark sul server Ubuntu per vedere cosa viene effettivamente inviato. Se l'RST è reale, è possibile che il processo httpd sia morto: controlla i file di registro e dmesgper ogni evenienza.

Il sito Web Test server SSL Qualys può mostrare tutte le versioni SSL / TLS supportate dal tuo server web. (Sfortunatamente, non disturba nemmeno con TLS SNI ...)

user1686
fonte
Quindi mi chiedo se il pacchetto TCP RST viene inviato da Windows Server 2008 R2 quando un client tenta di connettersi con SSLv2 quando il server ha SSLv2 disabilitato
David,
Il firewall è in genere l'unico intermediario che invia il pacchetto RST. Ma se questo non è il problema, a volte forzare SSL3 con l' -ssl3opzione o utilizzare l' -servernameopzione può superare questo.
Amit Naidu,
-3

È probabile che vi sia una discrepanza tra le cifre supportate dal tuo server e quelle supportate dal server del destinatario.

Tom
fonte
3
Come si conferma questo? Come lo risolve qualcuno dopo averlo confermato? Conosco personalmente le risposte a queste domande, ma altri potrebbero non saperlo, quindi il motivo per cui sostengono che questa domanda esiste.
Ramhound,
-3

Ho avuto lo stesso errore ed era correlato all'interfaccia MTU. Impostando l'interfaccia client MTU su 1492 (era 1500), ho risolto questo errore per me.

Daniel Roque
fonte
2
Questo potrebbe aver risolto il tuo problema, ma il tuo problema non aveva nulla a che fare con la compatibilità e / o la configurazione della crittografia SSL. Sebbene questa risposta possa aver risolto il tuo problema, non è applicabile al problema dell'autore, poiché non è correlato a questa domanda.
Ramhound,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.