Czy openssl errno 104 oznacza, że ​​SSLv2 jest wyłączony?

13

Chcę sprawdzić, czy mój serwer ma wyłączony SSLv2. Robię to, próbując połączyć się zdalnie z openssl za pomocą następującego polecenia powłoki.

openssl s_client -connect HOSTNAME:443 -ssl2

Większość literatury, którą mogę znaleźć w Internecie, mówi, że jeśli zobaczę coś podobnego do następującego błędu, wtedy SSLv2 zostanie poprawnie wyłączona.

29638:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Otrzymuję powyższy błąd podczas łączenia się z moim serwerem Ubuntu z wyłączonym SSLv2 w Apache Apache, ale kiedy łączę się z moim serwerem Windows Server 2008 R2 z wyłączonym SSLv2 w rejestrze, otrzymuję następujące dane wyjściowe i błąd.

CONNECTED(00000003)
write:errno=104

Nie mogę znaleźć żadnej literatury wyjaśniającej ten wynik i błąd. Jeśli ktoś mógłby mi wyjaśnić, czy i dlaczego to wyjście i błąd oznacza, że ​​SSLv2 jest poprawnie wyłączony, byłbym wdzięczny.

Dzięki!

David
źródło

Odpowiedzi:

14

Przynajmniej w Linuksie 104 oznacza ECONNRESET„Resetowanie połączenia przez peera” - innymi słowy, połączenie zostało przymusowo zamknięte za pomocą pakietu TCP RST, wysłanego przez serwer lub sfałszowanego przez pośrednika.

Chciałbym spróbować Wireshark / tshark na serwerze Ubuntu, aby zobaczyć, co faktycznie zostanie wysłane. Jeśli RST jest prawdziwy, być może proces httpd umarł - sprawdź pliki dziennika i na dmesgwszelki wypadek.


Witryna testowa Qualys SSL Server Server może wyświetlać wszystkie wersje SSL / TLS obsługiwane przez Twój serwer internetowy. (Niestety, nawet nie przeszkadza to TLS SNI ...)

użytkownik1686
źródło
Zastanawiam się więc, czy pakiet TCP RST jest wysyłany z systemu Windows Server 2008 R2, gdy klient próbuje połączyć się z SSLv2, gdy serwer ma wyłączoną SSLv2
David
Twoja zapora ogniowa jest zwykle jedynym pośrednikiem, który wysyła pakiet RST. Ale jeśli to nie jest problem, czasem wymuszenie SSL3 z -ssl3opcją lub użycie -servernameopcji może to ominąć.
Amit Naidu
-3

Prawdopodobnie występuje rozbieżność między szyframi obsługiwanymi przez serwer a szyframi obsługiwanymi przez serwer odbiorcy.

Tomek
źródło
3
Jak to potwierdzić? Jak ktoś to rozwiązuje po potwierdzeniu? Znam odpowiedzi na te pytania osobiście, ale inni mogą nie wiedzieć, stąd powód, dla którego uzasadniają to pytanie.
Ramhound
-3

Miałem ten sam błąd i był on związany z interfejsem MTU. Ustawienie MTU interfejsu klienta na 1492 (było 1500), rozwiązało ten błąd dla mnie.

Daniel Roque
źródło
2
To mogło rozwiązać problem, ale problem nie miał nic wspólnego z kompatybilnością i / lub konfiguracją szyfrów SSL. Chociaż ta odpowiedź mogła rozwiązać Twój problem, nie ma ona zastosowania do problemu autora, ponieważ nie ma związku z tym pytaniem.
Ramhound