Ricevo un errore NSS error -12286
durante il download di un file da HTTPS utilizzando curl
.
Posso scaricare lo stesso file senza problemi in wget
modo da poter escludere eventuali problemi di firewall o blacklist.
Già provato, senza fortuna, opzioni -k
e --cipher ecdhe_ecdsa_aes_128_gcm_sha_256
, ovvero la cifra preferita dal server secondo lo strumento Qualys SSL Labs Test Server qui: https://www.ssllabs.com/ssltest/analyze.html?d=intribunale.net&latest
Ecco il cURL
registro:
# curl -v https://www.intribunale.net/immobili
* About to connect() to www.intribunale.net port 443 (#0)
* Trying 104.27.150.214... connected
* Connected to www.intribunale.net (104.27.150.214) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* NSS error -12286
* Closing connection #0
* SSL connect error
curl: (35) SSL connect error
Le mie versioni lib sono:
# curl -V
curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2
Protocols: tftp ftp telnet dict ldap ldaps http file https ftps scp sftp
Features: GSS-Negotiate IDN IPv6 Largefile NTLM SSL libz
--cipher[s]
specificando che privato ECDHE, non ha nemmeno inviare ClientHello, appena chiude la connessione e dà l'errore. Questo sembra essere qualcosa fuori sincrono internamente, forse dopo la lunga negazione di ECC da parte di RedHat. RedHat wget utilizza OpenSSL e RedHat OpenSSL recente supporta ECC (solo con P256 P384 P521 ma qui è abbastanza).
stunnel
(che utilizza openssl) come da semplice a SSL, dire curl http(notS)://localhost[:port]/whatever
ma aggiungere in -H "Host: realhost"
modo che il server di destinazione non possa distinguere. ...
SSL_ERROR_NO_CYPHER_OVERLAP
"Impossibile comunicare in modo sicuro con il peer: nessun algoritmo di crittografia comune." I sistemi locale e remoto non condividono suite di cifratura in comune. Ciò può essere dovuto a un'errata configurazione alle due estremità. Può essere dovuto alla configurazione errata di un server per l'utilizzo di un certificato non RSA con l'algoritmo di scambio delle chiavi RSA.