Impossibile wget da github, errore di handshake sslv3


10

Abbiamo uno script che scarica la sicurezza delle mod da github che ha recentemente iniziato a fallire. I server eseguono CentOS 6 ma RHEL 6 probabilmente ha lo stesso problema. L'output è:

# wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
--2014-07-22 18:49:46--  https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving github.com... 192.30.252.129
Connecting to github.com|192.30.252.129|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz [following]
--2014-07-22 18:49:47--  https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving cloud.github.com... 54.230.99.219, 205.251.219.190, 54.230.97.212, ...
Connecting to cloud.github.com|54.230.99.219|:443... connected.
OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Unable to establish SSL connection.

Qualche idea su come risolvere o aggirare questo?


2
utilizzare un'altra applicazione, ad escurl
Rabin,

1
Per essere più specifici, sia 54.230.99.219 sia alcune delle (diverse) A che ottengo per cloud.github.com danno errore di stretta di mano a s_client senza opzione per ServerNameIndication. serverfault.com/questions/560053/… dice (diversi mesi fa) RedHat wget non fa SNI ma arricciare.
dave_thompson_085,

Ti senti fortunato ad accettare la mia risposta
Anton Dozortsev il

Beh, a dire il vero preferirei che @ dave_thompson_085 o Rabin pubblicassero i loro commenti come risposte, poiché ritengo che si tratti di una soluzione più a lungo termine anche se la soluzione alternativa funziona alla grande!
Kristofer,

Risposte:


2

Se non sbaglio intendi questo repository . Prova a ottenere le versioni del modulo URL .

Questo caso funziona per me:

$ wget https://github.com/SpiderLabs/ModSecurity/archive/v2.8.0.tar.gz

PS Ho anche lo stesso messaggio di errore quando provo a eseguire il caso;

$ wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

Hmm, questo URL non ha un md5 però :(
Kristofer

raw.githubusercontent.com/$ {UTENTE} / $ {REPO} /path/to/file.tar.gz
Maksim Kostromin

10

È possibile utilizzare il curlcomando per scaricarlo:

curl -LO https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

5
curl -L -Oè un sostituto migliore per wget, poiché segue i reindirizzamenti HTTP (particolarmente utile qui poiché Github vuole indicarmi il suo CDN).
strane caratteristiche

Inoltre, una cosa che ho incontrato con le versioni in CentOS 6.5 è che curlsupporta SNI e wgetnon lo fa, quindi per alcuni siti wgetverrà talvolta fornito il certificato per l'host sbagliato e otterrà un errore del certificato, anche se curlfunziona bene.
Rakslice,

7

Il lato server ha disabilitato l'handshake di crittografia SSLv3, a causa di gravi problemi di sicurezza SSLv3. Inoltre, il tuo client wget è una versione obsoleta e utilizza ancora come impostazione predefinita questa crittografia SSLv3. Hai 2 opzioni:

  • usa --secure-protocol = flag TLSv1 davanti a wget. wget --secure-protocol=TLSv1
  • installa una versione aggiornata di wget che usa come protocollo TLSv1 predefinito

5

Dovresti controllare la tua versione di wget.

Ho avuto lo stesso problema con le versioni precedenti di wget(<1.15).


2
Sembra che questo dovrebbe essere un commento contro la domanda e non una risposta.
Danny Staple,

0

Per quanto riguarda la soluzione alternativa, se ritieni che l'host prova a specificare --no-check-certificateo aggiungere:

check_certificate = off

nel tuo ~/.wgetrc(non raccomandato).

In alcuni rari casi, è causato dall'ora del sistema che potrebbe non essere sincronizzata, invalidando quindi i certificati che funzionavano in precedenza.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.