Kann nicht von Github, SSLV3 Handshake-Fehler wget

10

Wir haben ein Skript, das Mod-Sicherheit von Github herunterlädt, das kürzlich fehlgeschlagen ist. Auf den Servern wird CentOS 6 ausgeführt, aber RHEL 6 hat wahrscheinlich das gleiche Problem. Die Ausgabe ist:

# wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
--2014-07-22 18:49:46--  https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving github.com... 192.30.252.129
Connecting to github.com|192.30.252.129|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz [following]
--2014-07-22 18:49:47--  https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving cloud.github.com... 54.230.99.219, 205.251.219.190, 54.230.97.212, ...
Connecting to cloud.github.com|54.230.99.219|:443... connected.
OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Unable to establish SSL connection.

Irgendwelche Ideen, wie man das beheben oder umgehen kann?

Kristofer
quelle
2
Verwenden Sie eine andere Anwendung, z. B.curl
Rabin
1
Um genauer zu sein, geben sowohl 54.230.99.219 als auch einige der (unterschiedlichen) A, die ich für cloud.github.com erhalte, s_client einen Handshake-Fehler ohne Option für ServerNameIndication. serverfault.com/questions/560053/… sagt (vor einigen Monaten), dass RedHat wget kein SNI ausführt , Curl jedoch.
dave_thompson_085
Sie haben das Glück, meine Antwort
Anton Dozortsev
Um ehrlich zu sein, würde ich es vorziehen, wenn @ dave_thompson_085 oder Rabin ihre Kommentare als Antworten veröffentlichen würden, da ich dies eher als langfristige Lösung betrachte, obwohl Ihre Problemumgehung auch großartig funktioniert!
Kristofer

Antworten:

2

Wenn ich mich nicht irre, meinst du dieses Repo . Versuchen Sie, URL-Formulare für Releases zu erhalten .

Dieser Fall funktioniert für mich:

$ wget https://github.com/SpiderLabs/ModSecurity/archive/v2.8.0.tar.gz

PS Ich habe auch die gleiche Fehlermeldung, wenn ich versuche, Ihren Fall auszuführen.

$ wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Anton Dozortsev
quelle
Hmm, diese URL hat allerdings kein md5 :(
Kristofer
raw.githubusercontent.com/$ {USER} / $ {REPO} /path/to/file.tar.gz
Maksim Kostromin
10

Sie können den curlBefehl verwenden, um ihn herunterzuladen:

curl -LO https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Rajesh Gupta
quelle
5
curl -L -Oist ein besserer Ersatz für wget, da es HTTP-Weiterleitungen folgt (besonders nützlich hier, da Github mich auf sein CDN verweisen möchte).
seltsame Merkmale
Eine Sache, auf die ich bei den Versionen in CentOS 6.5 gestoßen bin, ist, dass curlSNI unterstützt wird und wgetnicht. Daher wird für einige Sites wgetmanchmal das Zertifikat für den falschen Host bereitgestellt und es kommt zu einem Zertifikatfehler, selbst wenn dies curleinwandfrei funktioniert.
Rakslice
7

Die Serverseite hat den SSLv3-Verschlüsselungs-Handshake aufgrund schwerwiegender SSLv3-Sicherheitsprobleme deaktiviert. Darüber hinaus ist Ihr wget-Client eine veraltete Version und verwendet diese SSLv3-Verschlüsselung standardmäßig. Sie haben 2 Möglichkeiten:

  • Verwenden Sie das Flag --secure-protocol = TLSv1 vor wget. wget --secure-protocol=TLSv1
  • Installieren Sie eine aktualisierte Version von wget, die als Standard-TLSv1-Protokoll verwendet wird
Vassilis Blazos
quelle
4

Sie sollten Ihre Wget-Version überprüfen.

Ich hatte das gleiche Problem mit älteren Versionen von wget(<1.15).

Dan
quelle
2
Dies sollte ein Kommentar gegen die Frage sein und keine Antwort.
Danny Staple
0

Wenn Sie dem Host vertrauen, geben Sie Folgendes an --no-check-certificateoder fügen Sie Folgendes hinzu:

check_certificate = off

in Ihre ~/.wgetrc(nicht empfohlen).

In einigen seltenen Fällen wird dies durch Ihre Systemzeit verursacht, die möglicherweise nicht synchron ist, wodurch die zuvor funktionierenden Zertifikate ungültig werden.

Kenorb
quelle