Re: poodle and broken ssl alerts
Hello! On Thu, Dec 18, 2014 at 08:12:00PM +0300, Anton Yuzhaninov wrote: > On 12/18/14 17:13, Maxim Dounin wrote: > >В теории, такое может происходить и случайно - т.к. fallback > >может случиться просто от того, что не удалось установить > >соединение с первого раза. > > Да, похоже так оно и происходит. Посмотрел дампы трафика - в них хендшейк > обрывается по таймауту и следующая попытка идёт с TLS_FALLBACK_SCSV. > > Но в дампе трафика встречаются Ecnripted Alert с TLS1.2 в то время как в > логах кроме inappropriate fallback ошибок не видно. В случае inappropriate > fallback версия должны быть меньше чем 1.2. Ошибки логгируются на разных уровнях в зависимости от собственно ошибки. Inappropriate fallback ты можешь видеть просто потому, что они логгируются на уровне crit в старых версиях, т.к. nginx их не ожидает увидеть. > Было бы проще сравнивать лог nginx и дамп трафика, если в бы в error_log > вместе с IP писался клиентский порт. Это сложно сделать? Где-нибудь в ngx_http_log_error() следом за addr_text выводить, разобрав c->sockaddr. Пример кода можно посмотреть в ngx_http_variable_remote_port(). -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: poodle and broken ssl alerts
On 12/18/14 17:13, Maxim Dounin wrote: В теории, такое может происходить и случайно - т.к. fallback может случиться просто от того, что не удалось установить соединение с первого раза. Да, похоже так оно и происходит. Посмотрел дампы трафика - в них хендшейк обрывается по таймауту и следующая попытка идёт с TLS_FALLBACK_SCSV. Но в дампе трафика встречаются Ecnripted Alert с TLS1.2 в то время как в логах кроме inappropriate fallback ошибок не видно. В случае inappropriate fallback версия должны быть меньше чем 1.2. Было бы проще сравнивать лог nginx и дамп трафика, если в бы в error_log вместе с IP писался клиентский порт. Это сложно сделать? ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: poodle and broken ssl alerts
Hello! On Thu, Dec 18, 2014 at 01:19:03PM +0300, Anton Yuzhaninov wrote: > После обновления openssl с 1.0.1g до 1.0.1j > В логи стали в большом количестве сыпаться сообщения вида: > > [crit] 767#0: *44215130 SSL_do_handshake() failed (SSL: error:140A1175:SSL > routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback) while SSL > handshaking, client: 192.0.0.225, server: 0.0.0.0:443 > > В то, что кто то пытается делать downgrade в таком масштабе я поверить не > готов. > Скорее всего это несовместимость изменений в openssl с какими то клиентами. > > Кто нибудь разбирался с этой проблемой? Возможно есть какой то workaround > чтобы не терять этих клиентов? Для начала имеет смысл попытаться выяснить, что это за клиенты, и воспроизводится ли проблема. В теории, такое может происходить и случайно - т.к. fallback может случиться просто от того, что не удалось установить соединение с первого раза. Just in case, уровень логгирования соответствующей ошибки понижен в 1.7.8, см. http://trac.nginx.org/nginx/ticket/662. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
poodle and broken ssl alerts
После обновления openssl с 1.0.1g до 1.0.1j В логи стали в большом количестве сыпаться сообщения вида: [crit] 767#0: *44215130 SSL_do_handshake() failed (SSL: error:140A1175:SSL routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback) while SSL handshaking, client: 192.0.0.225, server: 0.0.0.0:443 В то, что кто то пытается делать downgrade в таком масштабе я поверить не готов. Скорее всего это несовместимость изменений в openssl с какими то клиентами. Кто нибудь разбирался с этой проблемой? Возможно есть какой то workaround чтобы не терять этих клиентов? Хорошая поддержка клиентов в моем случае важнее безопасности. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru