Bedeutet openssl errno 104, dass SSLv2 deaktiviert ist?

13

Ich möchte überprüfen, ob auf meinem Server SSLv2 deaktiviert ist. Dazu versuche ich, mit dem folgenden Shell-Befehl eine Remoteverbindung mit openssl herzustellen.

openssl s_client -connect HOSTNAME:443 -ssl2

Die meiste Literatur, die ich im Internet finden konnte, besagt, dass SSLv2 ordnungsgemäß deaktiviert ist, wenn ich etwas Ähnliches wie den folgenden Fehler sehe.

29638:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Ich erhalte den obigen Fehler, wenn ich eine Verbindung zu meinem Ubuntu-Server mit deaktiviertem SSLv2 in Apache Apache herstelle. Wenn ich jedoch eine Verbindung zu meinem Windows Server 2008 R2-Server mit deaktiviertem SSLv2 in der Registrierung herstelle, wird die folgende Ausgabe und der folgende Fehler angezeigt.

CONNECTED(00000003)
write:errno=104

Ich kann keine Literatur finden, die diese Ausgabe und diesen Fehler erklärt. Wenn mir jemand erklären könnte, ob und warum diese Ausgabe und dieser Fehler bedeuten, dass SSLv2 ordnungsgemäß deaktiviert ist, würde ich es begrüßen.

Vielen Dank!

David
quelle

Antworten:

14

Zumindest unter Linux steht 104 ECONNRESETfür "Verbindung durch Peer zurückgesetzt" - mit anderen Worten, die Verbindung wurde zwangsweise mit einem TCP-RST-Paket geschlossen, das entweder vom Server gesendet oder von einem Vermittler gefälscht wurde.

Ich würde Wireshark / tshark auf dem Ubuntu-Server ausprobieren, um zu sehen, was tatsächlich gesendet wird. Wenn der RST real ist, kann es sein, dass der httpd-Prozess abgebrochen ist - überprüfen Sie die Protokolldateien und dmesgnur für den Fall.


Auf der Qualys SSL Server Test- Website können alle von Ihrem Webserver unterstützten SSL / TLS-Versionen angezeigt werden. (Leider stört es TLS SNI nicht einmal ...)

user1686
quelle
Ich frage mich also, ob das TCP-RST-Paket von Windows Server 2008 R2 gesendet wird, wenn ein Client versucht, eine Verbindung mit SSLv2 herzustellen, wenn auf dem Server SSLv2 deaktiviert ist
David
Ihre Firewall ist normalerweise derjenige Vermittler, der das RST-Paket sendet. Wenn dies jedoch nicht das Problem ist, kann es manchmal passieren, dass SSL3 mit der -ssl3Option erzwungen oder die -servernameOption verwendet wird.
Amit Naidu
-3

Es besteht wahrscheinlich eine Nichtübereinstimmung zwischen den von Ihrem Server unterstützten Chiffren und den vom Server des Empfängers unterstützten.

Tom
quelle
3
Wie bestätigt man das? Wie löst jemand das Problem, wenn er es bestätigt hat? Ich kenne die Antworten auf diese Fragen persönlich, aber andere wissen es möglicherweise nicht, weshalb sie diese Frage begründen.
Ramhound
-3

Ich hatte den gleichen Fehler und er hing mit der Schnittstellen-MTU zusammen. Das Setzen der Clientschnittstellen-MTU auf 1492 (es war 1500) hat diesen Fehler für mich behoben.

Daniel Roque
quelle
2
Dies hat möglicherweise Ihr Problem gelöst, aber Ihr Problem hatte nichts mit der Kompatibilität und / oder Konfiguration der SSL-Verschlüsselung zu tun. Diese Antwort hat möglicherweise Ihr Problem gelöst, ist jedoch nicht auf das Problem des Autors anwendbar, da sie nicht mit dieser Frage zusammenhängt.
Ramhound