[Eisfair] echoping (smokeping)-SSL-Problem
Rolf Bensch
azubi at bensch-net.de
Sa Dez 31 16:42:10 CET 2016
Hallo Jürgen,
Am 31.12.2016 um 15:18 schrieb Juergen Edner:
> Hallo Rolf,
>
>> habe bei einem Provider mehrere Webspaces in Betreuung die mit smokeping
>> überwacht werden. Seit einiger Zeit arbeiten die Tests mit
>> echoping_https recht zuverlässig. Jetzt führt der Provider
>> Wartungsarbeiten durch, danach erzeugen die echoping-Tests einen Fehler:
>
> Smokeping hast Du auf dem eisfair-Server installiert? Falls ja,
> welche Paketversion hast Du installiert? Olaf Jaerling an eine
> Paketversion 2.0.7 vom 2015-05-19 veröffentlicht, welche eventuell
> die Probleme behebt.
2.0.7 ist installiert
>> n36L # /usr/bin/echoping -t 5 -C -h / -n 5 [1. Server]
>> SSL_write error on socket: error:14077410:SSL
>> routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
>
> ich gehe davon aus, dass hier versucht wird SSLv2/v3 beim Aushandeln
> der Verbindung zu verwenden, welche aus Sicherheitsgründen mittlerweile
> von vielen Software-Paketen nicht mehr unterstützt wird. Abhilfe schafft
> hier üblicherweise eine Aktualisierung der OpenSSL-Libraries und die
> Verwendung von TLS.
3. i S: 2.6.11 HEADER-Library: OpenSSL 2016-09-27
4. i S: 2.6.11 Library: OpenSSL 2016-09-27
>> 1. Server (erzeugt Fehler)
>> OpenSSL 0.9.8y Server sent fatal alert: handshake_failure
>> Heartbeat (extension) no
>> Forward Secrecy Yes (with most browsers) ROBUST
>> ALPN Yes
>> NPN Yes
>> Session resumption(caching) Yes
>>
>> 2. Server (echoping arbeitet problemlos)
>> OpenSSL 0.9.8y RSA 2048 (SHA256) TLS 1.0
>> TLS_RSA_WITH_3DES_EDE_CBC_SHA No FS
>> Heartbeat (extension) yes
>> Forward Secrecy With modern browsers
>> ALPN No
>> NPN No
>> Session resumption(caching) No
>
> Dies deutet darauf hin, dass auf einem zweiten Server ein neueres
> Zertifikat mit einem SHA256-Hash im Einsatz ist. Schaue doch einmal
> was für ein Zertifikat auf dem ersten Server installiert ist,
> vielleicht noch ein Zertifikat mit einem SHA1-Hash?
Hier kommt jetzt wieder mein mangelhaftes Wissen um Zertifikate zum
Tragen. echoping fragt [meinedomain].de an. Für beide Domains besitze
ich ein Zertifikat von thatwe, beide Zertifikate wurden Anfang Dezember
aktualisiert und sind im Format "PKCS #1 SHA-256 With RSA Encryption".
Jetzt kommt aber der Umstand zum Tragen, dass beide [meinedomain].de
einer Subdomain der Serverfarm des Hosters entstammen und von dort
weitergeleitet werden. Auf dieser Serverfarm ist ein anderes Zertifikat,
welches auf *.[hoster].de ausgestellt ist, somit für beide Server
identisch ist.
Mit all diesen Zertifikaten hatte echoping auch bereits erfolgreich
gearbeitet.
>> Installiert sind smokeping und echoping in der aktuellen Version.
>> Auffallend ist, dass echoping ein Datum 2010-07-05 besitzt. Kommt das
>> Tool mit modernen SSL nicht klar oder ist das am Ende doch noch ein
>> Problem des Providers?
>
> echoping ist dynamisch gelinkt, sodass immer die OpenSSL-Version
> verwendet wird, welche auf dem Server installiert ist. Für einen
> eisfair-Server wäre dies OpenSSL v1.0.2j bzw. v0.9.8zh.
n36l # openssl version
OpenSSL 1.0.2j-fips 26 Sep 2016
> Siehe auch:
> http://unix.stackexchange.com/questions/192944/how-to-fix-curl-sslv3-alert-handshake-failure
das hatte ich bereits gelesen. Inhaltlich geht es um Updates, hier im
speziellen curl. Meiner Ansicht nach sind die Pakete auf dem Eis alle
aktuell und ich wüsste jetzt auch nicht, wie ich echoping zusätzliche
ssl-Parameter mitgeben könnte.
Hier nochmal ein verbose-Aufruf von Echoping:
n36l # /usr/bin/echoping -v -t 5 -C -h / -n 5 [meinedomain].de
This is /usr/bin/echoping, version 6.0.2.
Trying to connect to internet address xx.xx.xx.xx 443 to transmit 91
bytes...
Connected...
TCP Latency: 0.019667 seconds
SSL connection using (NONE)
SSL_write error on socket: error:14077410:SSL
routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Vielen Dank für die Unterstützung.
Rolf
Mehr Informationen über die Mailingliste Eisfair