Was ist der NSS-Fehler -5961 (PR_CONNECT_RESET_ERROR)

22

Kann mir jemand die Bedeutung von "NSS-Fehler -5961 (PR_CONNECT_RESET_ERROR)" erklären?

Ich versuche, mit dem "https" -Protokoll eine Verbindung zu bitbucket.org herzustellen, habe jedoch eine Ablehnung vom Server erhalten. Dann versuche ich, Curl in der Befehlszeile zu verwenden und sehe diese Ausgabe.

# curl -v https://bitbucket.org
* About to connect() to bitbucket.org port 443 (#0)
*   Trying 131.103.20.168...
* Connected to bitbucket.org (131.103.20.168) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* NSS error -5961 (PR_CONNECT_RESET_ERROR)
* TCP connection reset by peer
* Closing connection 0
curl: (35) TCP connection reset by peer

Mit openssl habe ich diese Ausgabe bekommen.

# openssl s_client -connect bitbucket.org:443 -msg
CONNECTED(00000003)
>>> TLS 1.2 Handshake [length 00f4], ClientHello
    01 00 00 f0 03 03 55 59 80 fa 72 25 f4 a5 84 49
... <I suspended this Hex value>
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 249 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
Mikrostreifen
quelle
Versuchen Sie zunächst zu prüfen, ob Sie über denselben Port eine Telnet-Verbindung zur IP herstellen können. Wenn dies nicht möglich ist, wenden Sie sich an Ihr Sicherheitsteam, um den Zugriff zuzulassen, und versuchen Sie es erneut.
Gertrude Aurora

Antworten:

23

TCP-Verbindung durch Peer zurückgesetzt

Dieser Fehler von NSS ist der gleiche Fehler, den Sie mit openssl erhalten (errno = 104: ECONNRESET). Dies bedeutet einfach, dass der Peer oder eine Middlebox dazwischen (Firewall) die Verbindung beendet.

Da die Site von meinem Standort aus erreichbar ist, würde ich vorschlagen, dass auf Ihrer Site eine Firewall vorhanden ist, die die Verbindung blockiert. Das Verhalten ist ziemlich typisch für DPI-Firewalls, da die anfängliche TCP-Verbindung zulässig ist. Sobald Sie jedoch die ersten Daten senden (ClientHello vom TLS-Handshake), wird festgestellt, ob Ihr Zugriff durch eine Richtlinie zulässig ist, und durch Einfügen eines TCP wird er weitergeleitet oder verweigert RST.

Steffen Ullrich
quelle
Vielen Dank für Ihre Antwort. Ich versuche, den Netzwerkadministrator zu kontaktieren, um die Firewall-Konfiguration zu überprüfen. Hoffe, dass sie etwas in der Politik finden.
Mikrostreifen
Steffen Ullrich: Nach einem Update des Netzwerkadministrators auf die Firewall-Konfiguration funktioniert die SSL-Kommunikation wieder wie gewohnt. Vielen Dank für Ihre Idee und Unterstützung.
Mikrostreifen
1

yum update curl

löste das Problem für mich.

Arkadiy Bolotov
quelle
4
Dies würde auf die spezifische OS / Curl-Version hinweisen. Welche Betriebssysteme / Versionen von Curl waren beteiligt?
Geselle Geek
Ich habe den gleichen Fehler erhalten, der durch die Verwendung von Debian-basiertem Curl mit einer anderen Kryptobibliothek anstelle einer Fedora-basierten Version behoben wurde. Fehlerhafte Version: curl 7.47.1 (x86_64-redhat-linux-gnu) libcurl / 7.47.1 NSS / 3.19.1 Grundlegende ECC zlib / 1.2.3 libidn / 1.18 libssh2 / 1.4.2 nghttp2 / 1.7.1 Protokolle: Diktierdatei ftp ftps Gopher http https imap imaps ldap ldaps pop3 pop3s rTSP scp sFTP smb SMBs smtp smtps telnet tftp Eigenschaften: AsynchDNS IDN IPv6 largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz HTTP2 UnixSockets
Joni Nevalainen
Arbeitsversion: curl 7.58.0 (x86_64-pc-linux-gnu) libcurl / 7.58.0 OpenSSL / 1.1.0g zlib / 1.2.11 libidn2 / 2.0.4 libpsl / 0.19.1 (+ libidn2 / 2.0.4) nghttp2 /1.30.0 librtmp / 2.3 Erscheinungsdatum: 2018-01-24 Protokolle: Diktierdatei ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtmp rtsp smb smbs smtp smtps telnet tftp Funktionen: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPN NTLM NTLM_WB SSL libz TLS-SRP HTTP2 UnixSockets HTTPS-Proxy PSL
Joni Nevalainen