[zorp-hu] ssl benazok

Balazs Scheidler zorp-hu@lists.balabit.hu
Tue, 18 Nov 2003 11:54:54 +0100


On Tue, Nov 18, 2003 at 11:07:31AM +0100, Gabor HALASZ wrote:
> A log vége:
> 
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl/client): Reading channel; fd='23', count='5'
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl/client): data line: 16 03 01 00 07  .....
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl/client): Reading channel; fd='23', count='7'
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl/client): data line: 0B 00 00 03 00 00 00 
>  .......
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl/client): Writing channel; fd='23', count='7'
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl/client): data line: 15 03 01 00 02 02 28 
>  ......(
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl): SSL handshake failed on the client 
> side; error='error:140890C7:SSL routines:lib(20):SSL3_GET
> _CLIENT_CERTIFICATE:func(137):peer did not return a certificate:reason(199)'
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl): calling __destroy__() event;
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl): Proxy destroy; class='HttpS_C', 
> module='pssl'
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl/client): Closing channel; fd='23'
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl/server): Shutdown channel; fd='26', mode='2'
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl/server): Closing channel; fd='26'
> Nov 18 10:55:41 firewall Host242[19285]: 
> (firewall@xxx.hu/HttpS_S:0/pssl): Proxy ending; class='HttpS_C', 
> module='pssl'
> 
> Mit rontok el?

az SSL proxy default 2.0-ban mar az, hogy kotelezoen elvarja a peertol a
certificate-t, ami kliens oldalon valoszinuleg nem kell neked.

probald meg kikapcsolni "self.client_verify_type = PSSL_VERIFY_NONE" sorral.

> 
> Bónuszkérdés:
> 
> Ezeket a reasonxxxx és alertnumberxxx ssl hibaüzeneteket hogyan lehet 
> dekódolni?

ott van a hibauzenetben az is. a 199-es reason number a "peer did not return
a certificate" jelentessel bir, az alert number 40 pedig az altalanos
"handshake faliora" uzenetet jelenti. (ez utobbi minden olyan esetet jelent,
amikor a szerver komponens leutalja a kliens altal prezentalt kulcsot)

Annyi tortent, hogy a Zorp nem fogadta a klienst (mert "peer did not return
a certificate") es ezt kozolte egy SSL alert-tel. Nyilvan a pontos okot nem
arulja el a kliensnek.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1