Welcome! Log In Create A New Profile

Advanced

Re: Выбор версии TLS в proxy_ssl_protocols

Maxim Dounin
November 16, 2018 06:24AM
Hello!

On Thu, Nov 15, 2018 at 10:50:15PM +0300, Evgeniy Berdnikov wrote:

> Есть задача спроксировать соединение до сервера с Exchange 2013,
> который не умеет TLSv1.2 и выше -- он просто обрывает соединение.
> Это выяснено с помощью "openssl s_client" перебором ключей -tlsXXX.
> Openssl с ключами -tls1 и -tls1_1 соединение устанавливает.

[...]

> Теперь понижаем версию, чтобы получить желаемый коннект: прописываем
> в конфиге "TLSv1.1" и получаем в логе
>
> 2018/11/15 21:50:25 [crit] 12454#12454: *1 SSL_do_handshake() failed (SSL: error:141E70BF:SSL routines:tls_construct_client_hello:no protocols available) while SSL handshaking to upstream, client: 192.168.27.13, server: cio.protva.ru, request: "GET /owa/ HTTP/1.1", upstream: "https://172.23.0.4:443/owa/", host: "cio.protva.ru:8080"

[...]

> То есть вместо изменения версии происходит какая-то внутренняя ошибка
> "tls_construct_client_hello:no protocols available". Такой же результат
> получается если указать TLSv1, SSLv3 или несколько версий протокола.
> Это бага или я что-то упустил?
>
> Информация о стендовой системе: Debian/unstable (32bit), пакеты
> nginx-light_1.14.1-1_i386 и libssl_1.1.1-2_i386.

Проблема в том, что в Debian на системном уровне запрещены
протоколы меньше TLS 1.2. Соответственно в вашей конфигурации
оказываются запрещены вообще все протоколы - об этом и говорит
ошибка "no protocols available".

Исправить это можно, обновившись на nginx 1.15.3+, где
соответствующая проблема полечена на уровне nginx[1], либо же
убрав ограничение в системном конфиге OpenSSL и/или задав для
nginx'а отдельный конфиг, без соответствующего ограничения.

[1] http://hg.nginx.org/nginx/rev/7ad0f4ace359

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

Выбор версии TLS в proxy_ssl_protocols

Evgeniy Berdnikov November 15, 2018 02:52PM

Re: Выбор версии TLS в proxy_ssl_protocols

Maxim Dounin November 16, 2018 06:24AM

Re: Выбор версии TLS в proxy_ssl_protocols

Evgeniy Berdnikov November 16, 2018 07:36AM

Re: Выбор версии TLS в proxy_ssl_protocols

Maxim Dounin November 16, 2018 08:10AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 71
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready