主页 / server / 问题 / 44470
Accepted
Karolis T.
Asked: 2009-07-23 23:47:00 +0800 CST

通过 Apache、Gentoo 对 SVN 进行大量提交时出现“SSL 错误解析 tlsext”

  • 772

这只发生在大提交时(导致提交失败):

Apache中虚拟主机配置的相关部分

   <LimitExcept 获取 PROPFIND 选项报告>
      需要有效用户
   </限制除外>
   svn
   SVNPath /home/svn/

提交结果:

传输文件数据.......................... svn:提交失败
(详情如下):
svn:PUT
'/!svn/wrk/48583f7d-0e01-410d-8941-33d2ba3574b4/WAP/.../htdocs/images/rt.gif':
SSL 协商失败:SSL 错误:解析 tlsext (https://...)

我在这里找到了对它的引用:http ://code.google.com/p/support/issues/detail?id=1395

声明 OpenSSL 应该使用 TLS 扩展进行编译,但在我的情况下,它不会在一开始就出错,只是在大提交时出错。

有任何想法吗?谢谢

apache-2.2 svn gentoo

3 个回答

  1. Best Answer

    这个问题我没遇到过,但是google了一下,发现可能是Apache 2.2.12或者13引入的,建议降级到2.2.11可以解决,同时设置SSLProtocol—— Apache 配置中的所有 +SSLv2 +SSLv3。没有一个似乎是确定的。祝你好运!希望你能找到解决办法。

    http://subversion.tigris.org/ds/viewMessage.do?dsForumId=1065&dsMessageId=2393204

    • 7

  2. 更新

    在阅读了有关此问题的 http-dev 线程后,存档于http://www.gossamer-threads.com/lists/apache/dev/375633,看来此问题是由客户端 OpenSSL 库中的错误引起的关于如何处理 SSL 票证/ID,这解释了为什么错误不会立即发生,而是需要几秒钟到几分钟。该决议于 11 月 2 日确定,即 OpenSSL 0.9.8l 发布前三天。该线程没有明确说明是否/何时将修复应用于 OpenSSL,但我认为这是我们可以预期在 0.9.8m 中修复的内容,我相信 m-beta 更改日志中的此条目涵盖了这一点:

    *) 修复无状态会话恢复处理。在发出和尝试解密票证时使用 initial_ctx,以防它在服务器名称处理期间发生更改。在尝试无状态会话恢复时使用非零长度会话 ID:这使得可以确定是否在收到服务器 hello 后立即恢复(OpenSSL 中的几个地方巧妙地假设了这一点),而不是稍后在握手中。

    原帖

    我在 Gentoo 上的 Apache-2.2.14 上遇到了类似的问题。作为参考,这是我的 USE 标志:

    [ebuild   R   ] dev-libs/openssl-0.9.8l-r2  USE="zlib -bindist -gmp -kerberos -sse2 -test" 4,082 kB
[ebuild   R   ] www-servers/apache-2.2.14-r1  USE="ssl -debug -doc -ldap (-selinux) -static -suexec -threads" APACHE2_MODULES="actions alias auth_basic auth_digest authn_dbd authn_default authn_file authz_default authz_groupfile authz_host authz_user autoindex dav dav_fs dav_lock dbd deflate dir env expires headers include info log_config logio mime mime_magic negotiation proxy proxy_balancer proxy_connect proxy_http rewrite setenvif status unique_id userdir -asis -authn_alias -authn_anon -authn_dbm -authz_dbm -authz_owner -cache -cern_meta -charset_lite -disk_cache -dumpio -ext_filter -file_cache -filter* -ident -imagemap -log_forensic -mem_cache -proxy_ajp -proxy_ftp -speling -substitute -usertrack* -version -vhost_alias" APACHE2_MPMS="prefork -event -itk -peruser -worker" 5,088 kB
[ebuild   R   ] net-misc/neon-0.29.0  USE="expat nls ssl zlib -doc -gnutls -kerberos -libproxy -pkcs11" LINGUAS="-cs -de -fr -ja -nn -pl -ru -tr -zh_CN" 859 kB
[ebuild   R   ] dev-util/subversion-1.6.6  USE="apache2 bash-completion dso nls perl python ruby webdav-neon -berkdb -ctypes-python -debug -doc -emacs -extras -gnome-keyring -java -sasl -test -vim-syntax -webdav-serf" 5,384 kB

    SSLProtocol 与TLSv1包含的任何组合都会发生这种情况

    如果我调整我SSLProtocol的 to remove TLSv1,我会收到一个新错误:

    svn: PUT of '/!svn/wrk/0b9f5a96-15aa-11df-ad6a-0f71b873281b/project/trunk/path/btn_Cancel.gif': SSL handshake failed: SSL error: bad decompression (https://svn.mudbugmedia.com)

    这大约发生在我遇到“parse tlsext”错误的同时。

    • 5

  3. 这个问题很可能是因为在 Apache httpd 2.2.12 - 2.2.14 和 OpenSSL 0.9.8f - 0.9.8l 中使用了多个启用 SSL 的 VirtualHost。

    以下补丁似乎为我解决了这个问题。

    • 0

相关问题