On Fri, Jun 28, 2002 at 11:55:46AM +0200, Balazs Scheidler wrote:
On Fri, Jun 28, 2002 at 11:35:06AM +0200, Kosa Attila wrote:
Hello! Ezt a hibauzenetet kaptam: SSL handshake failed on the server side; error='error:1408F455:SSL routines:lib(20):SSL3_GET_RECORD:func(143):decryption failed or bad record mac:reason(1109)'
Ez arra utal, hogy az elerni kivant szerver nem ismeri az ssl3-mat? Mit tudok tenni?
nem. szo szerint leforditva annyit jelent, hogy a masik oldal altal kuldott csomagon levo MAC ertek nem stimmel. A MAC a csomag integritasat hivatott vedeni. Milyen openssl verzio? Az uzenetet en nem talalom sem a 0.9.6a-ban sem a 0.9.6b-ben.
megtalaltam. a 0.9.6d-ben. ez a kodreszlet triggereli: if ((bs != 1) && !send) { i=rec->data[l-1]+1; /* SSL 3.0 bounds the number of padding bytes by the block size; * padding bytes (except that last) are arbitrary */ if (i > bs) { /* Incorrect padding. SSLerr() and ssl3_alert are done * by caller: we don't want to reveal whether this is * a decryption error or a MAC verification failure * (see http://www.openssl.org/~bodo/tls-cbc.txt) */ return -1; } rec->length-=i; } bs a block meret, a send azt jelenti, hogy kuldott vagy fogadott csomagrol van szo. Itt fogadott csomag, aminek hibas a padding-je. A padding byteok szama nagyobb, mint a blokkmeret. Ugyanez az ellenorzes megvan a 0.9.6b-ben is (csak mas a hibakodja, a fenti url irja le miert van a valtozas) A hiba oka legvaloszinubb valami hibas TLS1 megvalositas a masik oldalon, esetleg tamadasi kiserlet (szinten a fenti url-n van leirva), bar ez eleg kevesse valoszinu. Ki kellene iratni az i erteket, valahogy igy: if ((bs != 1) && !send) { i=rec->data[l-1]+1; fprintf(stderr, "hibas padding, i=%d, bs=%d\n", i, bs); /* SSL 3.0 bounds the number of padding bytes by the block size; * padding bytes (except that last) are arbitrary */ if (i > bs) { /* Incorrect padding. SSLerr() and ssl3_alert are done * by caller: we don't want to reveal whether this is * a decryption error or a MAC verification failure * (see http://www.openssl.org/~bodo/tls-cbc.txt) */ return -1; } rec->length-=i; } Az stderr megjelenik a zorp logjaban. Jo lenne meg a masik oldal tipusa, IIS, esetleg valami mas? Meg tudod mondani, hogy pontosan milyen szolgaltatas ez? Esetleg en is elerem? -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1