Início / server / Perguntas / 703436
Accepted
Bastien974
Asked: 2015-07-04 11:47:00 +0800 CST

Handshake SSL com CentOS, curl e ECDHE

  • 772

Como limitei minhas cifras a ECDHE por causa das vulnerabilidades do Logjam, não consigo mais fazer um curl a partir de uma máquina Centos. (funciona no Ubuntu)

$ curl -v https://mysite.mydomain.com
 * Initializing NSS with certpath: sql:/etc/pki/nssdb
 *   CAfile: /etc/pki/tls/certs/ca-bundle.crt   CApath: none
 * NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP)
 * Cannot communicate securely with peer: no common encryption algorithm(s).

Abrindo com o openssl funciona:

$ openssl s_client -connect mysite.mydomain.com:443 
   SSL-Session:
     Protocol  : TLSv1.2
     Cipher    : ECDHE-RSA-AES256-GCM-SHA384

Eu tentei com cifra explícita, --insecure e --tlsv1.2, sem sorte

$ curl --ciphers TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 -v https://mysite.mydomain.com
curl: (59) Unknown cipher in list: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Editar: tentei com o nome de cifra NSS correto e menos de 384 bits:

curl --ciphers ecdhe_rsa_aes_128_sha_256 https://mysite.mydomain.com
* Connected to xxx (xxx) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* Unknown cipher in list: ecdhe_rsa_aes_128_sha_256
* Closing connection 0
curl: (59) Unknown cipher in list: ecdhe_rsa_aes_128_sha_256

Encontrei este bug https://bugzilla.redhat.com/show_bug.cgi?id=1185708 mas não me ajuda a passar por isso.

Os SSLLabs relatam essas cifras como suportadas:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH 256 bits (eq. 3072 bits RSA)   FS    256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH 256 bits (eq. 3072 bits RSA)   FS    128
centos

1 respostas

  1. Best Answer

    O RHEL/CentOS não habilita o ECC por padrão no NSS. Você deve especificar explicitamente quais cifras deseja, por exemplo

    curl --ciphers ecdhe_rsa_aes_128_gcm_sha_256  ....

    ou qualquer cifra suportada pelo seu servidor e também suportada pela sua versão do curl/NSS.

    Consulte https://stackoverflow.com/a/31108631/3081018 para obter mais detalhes.

    Eu tentei com cifra explícita, --insecure e --tlsv1.2, sem sorte

    Esse problema não está relacionado à validação do certificado, portanto --insecure, não ajudará.

    curl --ciphers TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    Os nomes de cifra com NSS e OpenSSL são diferentes e, como você está usando o curl com o back-end NSS, deve usar a sintaxe NSS. Consulte https://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.html#Directives para saber como as cifras precisam ser especificadas.

    Além disso, o suporte para ECC com NSS só está disponível desde o curl 7.36.

    • 5

relate perguntas