Fallo OpenSSL en Debían al conectar

[Maykel Franco]

root@web: # wget https://domain.example.com/LoginData/client?wsdl

Resolviendo domain.example.com (domain.example.com)... 83.82.83.82

Conectando con domain.example.com (domain.example.com)[82.83.82.83]:443... conectado.

OpenSSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol

No se pudo establecer la conexión SSL.

Estoy intentando conectar con un servicio soap, en otro servidor que tengo con Ubuntu 10.04 , funciona sin problemas a la misma direccion.

Puede ser que sea por la version openssl, al ser una version mas antigua se lo trague? puede tener que ver con algo de libs de OpenSSL de los servers?

Desde donde me falla  tiene una versión mas moderna de openssl.

Gracias de antemano

[Camaleón]

El Thu, 11 Sep 2014 07:51:21 +0200, Maykel Franco escribió:

(...)

> Resolviendo domain.example.com
> <http://enterpriseintegration.nh-hotels.com/>

> (domain.example.com)... 83.82.83.82
>
> Conectando con domain.example.com
> (domain.example.com)[82.83.82.83]:443...
> conectado.
>
> OpenSSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
>
> No se pudo establecer la conexión SSL.

¿Has probado a comunicarte con otro servidor?

sm01@stt008:~$ wget google.com:443
--2014-09-11 15:24:54-- http://google.com:443/
Resolviendo google.com (google.com)... 173.194.45.174, 173.194.45.163, 173.194.45.165, ...
Conectando con google.com (google.com)[173.194.45.174]:443... conectado.
Petición HTTP enviada, esperando respuesta... No se han recibido datos.
Reintentando.


sm01@stt008:~$ wget example.com:443
--2014-09-11 15:25:41-- http://example.com:443/
Resolviendo example.com (example.com)... 93.184.216.119, 2606:2800:220:6d:26bf:1447:1097:aa7
Conectando con example.com (example.com)[93.184.216.119]:443... conectado.
Petición HTTP enviada, esperando respuesta... No se han recibido datos.
Reintentando.

> Estoy intentando conectar con un servicio soap, en otro servidor que
> tengo con Ubuntu 10.04 , funciona sin problemas a la misma direccion.
>
> Puede ser que sea por la version openssl, al ser una version mas antigua
> se lo trague? puede tener que ver con algo de libs de OpenSSL de los
> servers?
>
> Desde donde me falla tiene una versión mas moderna de openssl.

Echa un ojo a esto:

Unable to establish SSL connection, how do I fix my SSL cert?
http://stackoverflow.com/questions/15166950/unable-to-establish-ssl-connection-how-do-i-fix-my-ssl-cert

Saludos,

--
Camaleón


--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/pan.2014.09...@gmail.com

[Maykel Franco]

Si lo he mirado. Es un bug de OpenSSL... En Ubuntu me da este error pero desde un debían 7 me da error fatal en gnutls...

Si le dices que use la versión 3 ssl v3 funciona bien... Que raro. Tampoco funciona metiendo la ip a capón en vez de usar DNS.

Lo curioso es que tenemos servidores antiguos , versión mas antigua de OpenSSL y funciona perfectamente...

Probaré a otros servidores.

Saludos.

[Camaleón]

El Thu, 11 Sep 2014 15:47:20 +0200, Maykel Franco escribió:

(ugh...)

> El 11/09/2014 15:27, "Camaleón" <noel...@gmail.com> escribió:

(...)

>> > OpenSSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
>> >
>> > No se pudo establecer la conexión SSL.
>>
>> ¿Has probado a comunicarte con otro servidor?

(...)

>> > Estoy intentando conectar con un servicio soap, en otro servidor que
>> > tengo con Ubuntu 10.04 , funciona sin problemas a la misma direccion.
>> >
>> > Puede ser que sea por la version openssl, al ser una version mas
>> > antigua se lo trague? puede tener que ver con algo de libs de OpenSSL
>> > de los servers?
>> >
>> > Desde donde me falla tiene una versión mas moderna de openssl.
>>
>> Echa un ojo a esto:
>>
>> Unable to establish SSL connection, how do I fix my SSL cert?
>>
> http://stackoverflow.com/questions/15166950/unable-to-establish-ssl-connection-how-do-i-fix-my-ssl-cert
>>

> Si lo he mirado. Es un bug de OpenSSL...

¿Bug? ¿Qué bug?

> En Ubuntu me da este error pero desde un debían 7 me da error fatal en
> gnutls...

¿Qué error?

> Si le dices que use la versión 3 ssl v3 funciona bien... Que raro.
> Tampoco funciona metiendo la ip a capón en vez de usar DNS.
>
> Lo curioso es que tenemos servidores antiguos , versión mas antigua de
> OpenSSL y funciona perfectamente...
>
> Probaré a otros servidores.

Prueba también la comunicación con openssl y la depuración habilitada por
si vieras más datos. de todas formas, yo no veo ese error en Wheezy:

sm01@stt008:~$ wget 82.83.82.83:443
--2014-09-11 16:02:18-- http://82.83.82.83:443/
Conectando con 82.83.82.83:443... conectado.
Petición HTTP enviada, esperando respuesta... Error de lectura (Conexión reinicializada por la máquina remota) en las cabeceras.
Reintentando.




sm01@stt008:~$ openssl s_client -connect 82.83.82.83:443
CONNECTED(00000003)
depth=0 CN = chhiwgq4bstlgdhg.myfritz.net
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = chhiwgq4bstlgdhg.myfritz.net
verify return:1
---
Certificate chain
0 s:/CN=chhiwgq4bstlgdhg.myfritz.net
i:/CN=chhiwgq4bstlgdhg.myfritz.net
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=chhiwgq4bstlgdhg.myfritz.net
issuer=/CN=chhiwgq4bstlgdhg.myfritz.net
---
No client certificate CA names sent
---
SSL handshake has read 1133 bytes and written 622 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : RC4-SHA
Session-ID: 172D96B8D3C184DA5A551676C834A39D260F9329D86B0989BAAE9B0EC639BE40
Session-ID-ctx:
Master-Key: EDA91723AEAD3107850D3E48AE87F541ACE671896DA804BD874CECB54D97B030CAE2EC389CFA2F89760AFCFE28E0617F
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1410444160
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---

[Maykel Franco]

El día 11 de septiembre de 2014, 16:05, Camaleón <noel...@gmail.com> escribió:
> El Thu, 11 Sep 2014 15:47:20 +0200, Maykel Franco escribió:
>
> (ugh...)
>
>> El 11/09/2014 15:27, "Camaleón" <noel...@gmail.com> escribió:
>
> (...)
>
>>> > OpenSSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
>>> >
>>> > No se pudo establecer la conexión SSL.
>>>
>>> ¿Has probado a comunicarte con otro servidor?

Sí, no tengo problema. Es con determinada dirección.

>
> (...)
>
>>> > Estoy intentando conectar con un servicio soap, en otro servidor que
>>> > tengo con Ubuntu 10.04 , funciona sin problemas a la misma direccion.
>>> >
>>> > Puede ser que sea por la version openssl, al ser una version mas
>>> > antigua se lo trague? puede tener que ver con algo de libs de OpenSSL
>>> > de los servers?
>>> >
>>> > Desde donde me falla tiene una versión mas moderna de openssl.
>>>
>>> Echa un ojo a esto:
>>>
>>> Unable to establish SSL connection, how do I fix my SSL cert?

Es una de las primeras URLs que mire en la búsqueda, no me solucionada nada.

>>>
>> http://stackoverflow.com/questions/15166950/unable-to-establish-ssl-connection-how-do-i-fix-my-ssl-cert
>>>
>> Si lo he mirado. Es un bug de OpenSSL...
>
> ¿Bug? ¿Qué bug?

Este bug:

https://bugs.launchpad.net/ubuntu/+source/openssl/+bug/861137

No soy el único.

>
>> En Ubuntu me da este error pero desde un debían 7 me da error fatal en
>> gnutls...
>
> ¿Qué error?

Este error:

root@omd:~# wget https://domain.example.com/client?wsdl
--2014-09-12 12:57:30-- https://domain.example.com/client?wsdl
Resolving enterpriseintegration.nh-hotels.com (domain.example.com)...
83.82.83.82
Connecting to enterpriseintegration.nh-hotels.com
(domain.example.com)|83.82.83.82|:443... connected.
GnuTLS: A TLS fatal alert has been received.
Unable to establish SSL connection.

>
>> Si le dices que use la versión 3 ssl v3 funciona bien... Que raro.

Concretamente:

En ubuntu, pasandole el procolo SSLv3 se descarga correctamente:

root@web1-apache:/home/maykel# wget --secure-protocol=SSLv3
https://domain.example.com/client?wsdl
--2014-09-12 12:59:44-- https://domain.example.com/client?wsdl
Resolving domain.example.com (domain.example.com)... 83.82.83.82
Connecting to domain.example.com
(domain.example.com)|83.82.83.82|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/xml]
Saving to: `client?wsdl.1'

[ <=>

] 4,860 --.-K/s in 0.05s

2014-09-12 12:59:45 (97.2 KB/s) - `client?wsdl.1' saved [4860]


En debian 7 aún así tampoco funciona:

root@omd:~# wget --secure-protocol=SSLv3 https://domain.example.com/client?wsdl
--2014-09-12 13:00:34-- https://domain.example.com/client?wsdl
Resolving domain.example.com (domain.example.com)... 83.82.83.82
Connecting to domain.example.com
(domain.example.com)|83.82.83.82|:443... connected.
GnuTLS: GnuTLS internal error.
Unable to establish SSL connection.

Que pueda tener algo raro ese servidor, pues puede ser, pero lo que sí
que es raro es que en máquinas con openssl antiguo, por ejemplo ubuntu
10.04, Mandrake (si mandrake del año 2005) y Mandriva tira sin
problemas:


root@moriarty:/home/maykel# openssl version
OpenSSL 0.9.8k 25 Mar 2009
root@moriarty:/home/maykel# wget https://domain.example.com/client?wsdl
--2014-09-12 13:03:43-- https://domain.example.com/client?wsdl
Resolviendo domain.example.com... 83.82.83.82
Conectando a domain.example.com|83.82.83.82|:443... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: no especificado [text/xml]
Guardando en: «client?wsdl.3»

[ <=>

] 4.860 --.-K/s en 0s

2014-09-12 13:03:43 (21,6 MB/s) - «client?wsdl.3» guardado [4860]

root@moriarty:/home/maykel# lsb_release
No LSB modules are available.
root@moriarty:/home/maykel# cat /etc/issue
Ubuntu 10.04.4 LTS \n \l


Al menos... Es un poco raro no??

Gracias por la ayuda.

Saludos.

Archive: https://lists.debian.org/CAJ2aOA8da00zUbO7cqhVzd72...@mail.gmail.com

[Camaleón]

El Fri, 12 Sep 2014 13:05:23 +0200, Maykel Franco escribió:

> El día 11 de septiembre de 2014, 16:05, Camaleón <noel...@gmail.com>
> escribió:

(...)

>>>> > OpenSSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown
>>>> > protocol
>>>> >
>>>> > No se pudo establecer la conexión SSL.
>>>>
>>>> ¿Has probado a comunicarte con otro servidor?
>
> Sí, no tengo problema. Es con determinada dirección.

Entonces el problema puede estar en la configuración de ese servidor en
concreto ¿no crees? :-?

>>>> Echa un ojo a esto:
>>>>
>>>> Unable to establish SSL connection, how do I fix my SSL cert?
>
> Es una de las primeras URLs que mire en la búsqueda, no me solucionada
> nada.
>
>
>>> http://stackoverflow.com/questions/15166950/unable-to-establish-ssl-
connection-how-do-i-fix-my-ssl-cert

No tiene que solucionarte nada es para que entiendas por qué se produce
ese mensaje en concreto, además de darte pistas para poder depurarlo con
openssl.

>>> Si lo he mirado. Es un bug de OpenSSL...
>>
>> ¿Bug? ¿Qué bug?
>
> Este bug:
>
> https://bugs.launchpad.net/ubuntu/+source/openssl/+bug/861137
>
> No soy el único.

No eres tú si no el servidor al que te conectas. En ese informe que
mandas hablan de configuraciones con tomcat y el uso de SSLv3 junto con
TLSv1.1, es decir, que falla en determinadas circunstancias.

>>> En Ubuntu me da este error pero desde un debían 7 me da error fatal en
>>> gnutls...
>>
>> ¿Qué error?
>
> Este error:
>
> root@omd:~# wget https://domain.example.com/client?wsdl --2014-09-12
> 12:57:30-- https://domain.example.com/client?wsdl Resolving
> enterpriseintegration.nh-hotels.com (domain.example.com)...
> 83.82.83.82 Connecting to enterpriseintegration.nh-hotels.com
> (domain.example.com)|83.82.83.82|:443... connected.
> GnuTLS: A TLS fatal alert has been received.
> Unable to establish SSL connection.

Ese error concuerda con la información del bug que has enviado (TLS), por
lo que tendrás el baipás que indican para acceder a ese servidor.

> En debian 7 aún así tampoco funciona:
>
> root@omd:~# wget --secure-protocol=SSLv3
> https://domain.example.com/client?wsdl --2014-09-12 13:00:34--
> https://domain.example.com/client?wsdl Resolving domain.example.com
> (domain.example.com)... 83.82.83.82 Connecting to domain.example.com
> (domain.example.com)|83.82.83.82|:443... connected.
> GnuTLS: GnuTLS internal error.
> Unable to establish SSL connection.

¿Con qué dominio estás probando? Porque ese "domain.example.com" no
resuelve.

> Que pueda tener algo raro ese servidor, pues puede ser, pero lo que sí
> que es raro es que en máquinas con openssl antiguo, por ejemplo ubuntu
> 10.04, Mandrake (si mandrake del año 2005) y Mandriva tira sin
> problemas:

(...)

> Al menos... Es un poco raro no??

Raro no, es un bug que golpea en determinadas circunstancias :-)