[Eisfair] echoping (smokeping)-SSL-Problem

Olaf Jaehrling eisfair at ojaehrling.de
Sa Dez 31 15:56:39 CET 2016 

Hallo Rolf

Juergen Edner schrieb am 31.12.2016 um 15:18:
> Hallo Rolf,
> 

> 
>> n36L # /usr/bin/echoping -t 5 -C -h / -n 5 [1. Server]
>> SSL_write error on socket: error:14077410:SSL
>> routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
> 
> ich gehe davon aus, dass hier versucht wird SSLv2/v3 beim Aushandeln
> der Verbindung zu verwenden, welche aus Sicherheitsgründen mittlerweile
> von vielen Software-Paketen nicht mehr unterstützt wird. Abhilfe schafft
> hier üblicherweise eine Aktualisierung der OpenSSL-Libraries und die
> Verwendung von TLS.
> 
>> 1. Server (erzeugt Fehler)               
>> OpenSSL 0.9.8y        Server sent fatal alert: handshake_failure
>> Heartbeat (extension)    no
>> Forward Secrecy        Yes (with most browsers) ROBUST
>> ALPN            Yes
>> NPN            Yes
>> Session resumption(caching)     Yes   
>>
>> 2. Server (echoping arbeitet problemlos)
>> OpenSSL 0.9.8y        RSA 2048 (SHA256) TLS 1.0
>> TLS_RSA_WITH_3DES_EDE_CBC_SHA No FS
>> Heartbeat (extension)    yes
>> Forward Secrecy        With modern browsers
>> ALPN            No
>> NPN            No
>> Session resumption(caching)     No
> 
> Dies deutet darauf hin, dass auf einem zweiten Server ein neueres
> Zertifikat mit einem SHA256-Hash im Einsatz ist. Schaue doch einmal
> was für ein Zertifikat auf dem ersten Server installiert ist,
> vielleicht noch ein Zertifikat mit einem SHA1-Hash?

ich hätte hier zum Testen folgende Version (Debian)

echoping 6.0.2 compiled with i686-linux-gnu-gcc on babin (i686-pc-linux-gnu)
 at 2016-05-25 with options:

HTTP: enabled
ICP: enabled
OPENSSL: disabled
GNUTLS: enabled
SMTP: enabled
LIBIDN: enabled
TOS: enabled
PRIORITY: enabled


Eisfair hat diese Version:
echoping 6.0.2 compiled with cc on compiler (i686-pc-linux-gnu)
 at 2010-07-05 with options:

HTTP: enabled
ICP: disabled
OPENSSL: enabled
GNUTLS: disabled
SMTP: enabled
LIBIDN: enabled
TOS: enabled
PRIORITY: enabled


Der Unterschied ist, dass bei der Debainversion openssl disabled ist und
dafür GnuTLS enabled ist. Vllt behebt das ja dein Problem.

Magst du mal testen?

cp /usr/bin/echoping /usr/bin/echoping_original
wget -O /usr/bin/echoping http://ojaehrling.de/eis/echoping



Danach kannst Du testen. Wenn es nicht geht kannst du es einfach wieder
Rückgängig machen mittels
mv /usr/bin/echoping_original /usr/bin/echoping

Gruß

Olaf

Guten Rutsch ins Jahr 2017

Mehr Informationen über die Mailingliste Eisfair