由于 Logjam 漏洞,我将我的密码限制为 ECDHE,我无法再从 Centos 机器上进行 curl。(来自 Ubuntu 的作品)
$ curl -v https://mysite.mydomain.com
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none
* NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP)
* Cannot communicate securely with peer: no common encryption algorithm(s).
使用 openssl 打开:
$ openssl s_client -connect mysite.mydomain.com:443
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
我尝试使用显式密码--insecure 和--tlsv1.2,但没有运气
$ curl --ciphers TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 -v https://mysite.mydomain.com
curl: (59) Unknown cipher in list: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
编辑:尝试使用正确的 NSS 密码名称,并且小于 384 位:
curl --ciphers ecdhe_rsa_aes_128_sha_256 https://mysite.mydomain.com
* Connected to xxx (xxx) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* Unknown cipher in list: ecdhe_rsa_aes_128_sha_256
* Closing connection 0
curl: (59) Unknown cipher in list: ecdhe_rsa_aes_128_sha_256
发现了这个错误https://bugzilla.redhat.com/show_bug.cgi?id=1185708但并没有帮助我通过它。
SSLLabs 报告支持这些密码:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH 256 bits (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH 256 bits (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH 256 bits (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH 256 bits (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH 256 bits (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH 256 bits (eq. 3072 bits RSA) FS 128
RHEL/CentOS 在 NSS 中默认不启用 ECC。您必须明确指定您想要的密码,例如
或者您的服务器支持并且您的 curl/NSS 版本也支持的任何密码。
有关更多详细信息,请参阅https://stackoverflow.com/a/31108631/3081018。
此问题与证书验证无关,因此
--insecure无济于事。NSS 和 OpenSSL 的密码名称不同,由于您使用带有 NSS 后端的 curl,因此您必须使用 NSS 语法。请参阅https://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.html#Directives了解如何指定密码。
此外,仅从 curl 7.36 起才提供对带有 NSS 的 ECC 的支持。