Openssl errno 104 significa que o SSLv2 está desativado?

13

Quero verificar se meu servidor tem o SSLv2 desativado. Estou fazendo isso tentando conectar-se remotamente ao openssl com o seguinte comando do shell.

openssl s_client -connect HOSTNAME:443 -ssl2

A maior parte da literatura que eu encontrei na Internet diz que, se eu vir algo semelhante ao seguinte erro, o SSLv2 está desativado corretamente.

29638:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Eu recebo o erro acima ao me conectar ao meu servidor Ubuntu com o SSLv2 desabilitado no Apache Apache, mas quando me conecto ao meu servidor Windows Server 2008 R2 com o SSLv2 desabilitado no registro, obtenho a seguinte saída e erro.

CONNECTED(00000003)
write:errno=104

Não consigo encontrar nenhuma literatura que explique essa saída e erro. Se alguém puder me explicar se e por que essa saída e erro significa que o SSLv2 está desativado corretamente, eu agradeceria.

Obrigado!

David
fonte

Respostas:

14

Pelo menos no Linux, 104 é ECONNRESETpara "Redefinição de conexão por pares" - em outras palavras, a conexão foi fechada à força com um pacote TCP RST, enviado pelo servidor ou falsificado por um intermediário.

Eu tentaria o Wireshark / tshark no servidor Ubuntu para ver o que realmente é enviado. Se o RST for real, pode ser que o processo httpd tenha morrido - verifique os arquivos de log, dmesgapenas por precaução.


O site de teste do servidor SSL da Qualys pode mostrar todas as versões SSL / TLS suportadas pelo seu servidor web. (Infelizmente, nem se preocupa com o TLS SNI ...)

user1686
fonte
Então, eu estou querendo saber se o pacote TCP RST é enviado a partir do Windows Server 2008 R2 quando um cliente tenta se conectar com SSLv2 quando o servidor tem SSLv2 desativado
David
Seu firewall geralmente é o intermediário que envia o pacote RST. Mas se esse não for o problema, às vezes forçar o SSL3 com a -ssl3opção ou usá-la -servernamepode passar por isso.
Amit Naidu
-3

É provável que haja uma incompatibilidade entre as cifras suportadas pelo servidor e as suportadas pelo servidor do destinatário.

Tom
fonte
3
Como se confirma isso? Como alguém resolve isso depois de confirmar? Conheço as respostas para essas perguntas pessoalmente, mas outras pessoas podem não saber, daí a razão pela qual elas raciocinam.
Ramhound 14/10/2015
-3

Eu tive o mesmo erro e estava relacionado à interface MTU. Definir a interface do cliente MTU para 1492 (era 1500), resolveu esse erro para mim.

Daniel Roque
fonte
2
Isso pode ter resolvido o seu problema, mas o problema não tinha nada a ver com a compatibilidade e / ou a configuração da criptografia SSL. Embora essa resposta possa ter resolvido o seu problema, ela não é aplicável ao problema do autor, pois não está relacionada a esta pergunta.
precisa saber é o seguinte