[Eisfair] echoping (smokeping)-SSL-Problem

Juergen Edner juergen at eisfair.org
Sa Dez 31 15:18:00 CET 2016 

Hallo Rolf,

> habe bei einem Provider mehrere Webspaces in Betreuung die mit smokeping
> überwacht werden. Seit einiger Zeit arbeiten die Tests mit
> echoping_https recht zuverlässig. Jetzt führt der Provider
> Wartungsarbeiten durch, danach erzeugen die echoping-Tests einen Fehler:

Smokeping hast Du auf dem eisfair-Server installiert? Falls ja,
welche Paketversion hast Du installiert? Olaf Jaerling an eine
Paketversion 2.0.7 vom 2015-05-19 veröffentlicht, welche eventuell
die Probleme behebt.

> n36L # /usr/bin/echoping -t 5 -C -h / -n 5 [1. Server]
> SSL_write error on socket: error:14077410:SSL
> routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

ich gehe davon aus, dass hier versucht wird SSLv2/v3 beim Aushandeln
der Verbindung zu verwenden, welche aus Sicherheitsgründen mittlerweile
von vielen Software-Paketen nicht mehr unterstützt wird. Abhilfe schafft
hier üblicherweise eine Aktualisierung der OpenSSL-Libraries und die
Verwendung von TLS.

> 1. Server (erzeugt Fehler)               
> OpenSSL 0.9.8y        Server sent fatal alert: handshake_failure
> Heartbeat (extension)    no
> Forward Secrecy        Yes (with most browsers) ROBUST
> ALPN            Yes
> NPN            Yes
> Session resumption(caching)     Yes   
> 
> 2. Server (echoping arbeitet problemlos)
> OpenSSL 0.9.8y        RSA 2048 (SHA256) TLS 1.0
> TLS_RSA_WITH_3DES_EDE_CBC_SHA No FS
> Heartbeat (extension)    yes
> Forward Secrecy        With modern browsers
> ALPN            No
> NPN            No
> Session resumption(caching)     No

Dies deutet darauf hin, dass auf einem zweiten Server ein neueres
Zertifikat mit einem SHA256-Hash im Einsatz ist. Schaue doch einmal
was für ein Zertifikat auf dem ersten Server installiert ist,
vielleicht noch ein Zertifikat mit einem SHA1-Hash?

> Installiert sind smokeping und echoping in der aktuellen Version.
> Auffallend ist, dass echoping ein Datum 2010-07-05 besitzt. Kommt das
> Tool mit modernen SSL nicht klar oder ist das am Ende doch noch ein
> Problem des Providers?

echoping ist dynamisch gelinkt, sodass immer die OpenSSL-Version
verwendet wird, welche auf dem Server installiert ist. Für einen
eisfair-Server wäre dies OpenSSL v1.0.2j bzw. v0.9.8zh.

Siehe auch:
http://unix.stackexchange.com/questions/192944/how-to-fix-curl-sslv3-alert-handshake-failure

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair