«Ошибка SSL-синтаксического анализа tlsext» на большом коммите в SVN через Apache, Gentoo

10

Это происходит только при большой фиксации (что приводит к неудачной фиксации):

Соответствующий раздел из конфигурации виртуального хоста в Apache

   <LimitExcept GET PROPFIND OPTIONS REPORT>
      Требуется действительный пользователь
   </ LimitExcept>
   Дав свн
   SVNPath / home / svn /

Подтвердить результат:

Передача данных файла .............................. svn: Сбой при фиксации
(подробности следуют):
SVN: PUT из
'/!Svn/wrk/48583f7d-0e01-410d-8941-33d2ba3574b4/WAP/.../htdocs/images/rt.gif':
Сбой согласования SSL: Ошибка SSL: синтаксический анализ tlsext (https: // ...)

Я нашел ссылки на него здесь: http://code.google.com/p/support/issues/detail?id=1395

заявляя, что OpenSSL должен быть скомпилирован с расширением TLS, но в моем случае он не выдает ошибку при запуске, только при больших коммитах.

Есть идеи? Спасибо

apache-2.2 svn gentoo Каролис Т.
источник
есть ли билет на Apache httpd bugtracker для этой ошибки?
user28271

Ответы:

7

Я не сталкивался с этой проблемой, но я потратил некоторое время на поиски в Google и обнаружил, что она может быть введена в Apache 2.2.12 или 13. Предполагается, что снижение до 2.2.11 может исправить это, а также настройка SSLProtocol - ВСЕ + SSLv2 + SSLv3 в вашей конфигурации Apache. Ни один из них не казался окончательным. Удачи! Надеюсь, вы найдете решение.

http://subversion.tigris.org/ds/viewMessage.do?dsForumId=1065&dsMessageId=2393204

Джефф Снайдер
источник
Добавление SSLProtocol -ALL + SSLv2 + SSLv3 также работает для меня.
Что бы это ни стоило, у меня была та же проблема, и добавление SSLProtocol -ALL + SSLv2 + SSLv3, как упомянуто выше, устранило эту проблему для меня.
Адам Карр
У меня была такая же проблема при попытке подключения из Ruby 1.9.3. Ruby 1.9.2 не был проблемой по любой причине. И ошибка произошла сразу при использовании клиентского сертификата. Изменение моего конфига от SSLProtocol all -SSLv2до SSLProtocol ALL -SSLv2 -TLSv1фиксированного вопроса для меня.
Благоприятно
1
Обратите внимание, что SSLv2 устарел с 1996 года
Джаред Бек,
5

ОБНОВИТЬ

После прочтения ветки http-dev об этой проблеме, архивированной по адресу http://www.gossamer-threads.com/lists/apache/dev/375633 , кажется, что эта проблема вызвана ошибкой в ​​клиентской библиотеке OpenSSL в Относительно того, как обрабатываются билеты / идентификаторы SSL, что объясняет, почему ошибка не возникает сразу, а занимает от нескольких секунд до минут. Это решение было принято 2 ноября, за три дня до выхода OpenSSL 0.9.8l. Поток не указывает явно, было ли когда-либо исправление применено к OpenSSL, но я думаю, что это то, что мы можем ожидать исправить в 0.9.8m, что, я полагаю, покрыто этой записью в журнале изменений m-beta:

*) Исправлена ​​ошибка с обработкой возобновления сеанса без сохранения состояния. Используйте initial_ctx при выдаче и попытке расшифровки билетов, если они изменились во время обработки имени сервера. Используйте идентификатор сеанса с ненулевой длиной при попытке возобновления сеанса без сохранения состояния: это позволяет определить, произошло ли возобновление сразу после получения приветствия от сервера (некоторые места в OpenSSL едва ли допускают это), а не позднее при рукопожатии.

ОРИГИНАЛЬНАЯ ПОЧТА

У меня возникают похожие проблемы на Apache-2.2.14 на Gentoo. Для справки вот мои USE-флаги:

[ebuild   R   ] dev-libs/openssl-0.9.8l-r2  USE="zlib -bindist -gmp -kerberos -sse2 -test" 4,082 kB
[ebuild   R   ] www-servers/apache-2.2.14-r1  USE="ssl -debug -doc -ldap (-selinux) -static -suexec -threads" APACHE2_MODULES="actions alias auth_basic auth_digest authn_dbd authn_default authn_file authz_default authz_groupfile authz_host authz_user autoindex dav dav_fs dav_lock dbd deflate dir env expires headers include info log_config logio mime mime_magic negotiation proxy proxy_balancer proxy_connect proxy_http rewrite setenvif status unique_id userdir -asis -authn_alias -authn_anon -authn_dbm -authz_dbm -authz_owner -cache -cern_meta -charset_lite -disk_cache -dumpio -ext_filter -file_cache -filter* -ident -imagemap -log_forensic -mem_cache -proxy_ajp -proxy_ftp -speling -substitute -usertrack* -version -vhost_alias" APACHE2_MPMS="prefork -event -itk -peruser -worker" 5,088 kB
[ebuild   R   ] net-misc/neon-0.29.0  USE="expat nls ssl zlib -doc -gnutls -kerberos -libproxy -pkcs11" LINGUAS="-cs -de -fr -ja -nn -pl -ru -tr -zh_CN" 859 kB
[ebuild   R   ] dev-util/subversion-1.6.6  USE="apache2 bash-completion dso nls perl python ruby webdav-neon -berkdb -ctypes-python -debug -doc -emacs -extras -gnome-keyring -java -sasl -test -vim-syntax -webdav-serf" 5,384 kB

Это происходит с любой комбинацией SSLProtocol с TLSv1включенным

Если я настрою мой SSLProtocolудалить TLSv1, я получаю новую ошибку:

svn: PUT of '/!svn/wrk/0b9f5a96-15aa-11df-ad6a-0f71b873281b/project/trunk/path/btn_Cancel.gif': SSL handshake failed: SSL error: bad decompression (https://svn.mudbugmedia.com)

Это происходит примерно в то же время, когда вместо этого я сталкиваюсь с ошибкой "parse tlsext".

Гейб Мартин-Демпси
источник
Обновление моего SVN-клиента с 1.6 до 1.7 решило проблему «parse tlsext» для меня, поддержав предположение @ gabe-martin-dempesy, что «эта проблема вызвана ошибкой в ​​библиотеке OpenSSL на стороне клиента»
Джаред Бек,
0

Эта проблема наиболее вероятна из-за использования нескольких виртуальных хостов с поддержкой SSL в Apache httpd 2.2.12 - 2.2.14 и OpenSSL 0.9.8f - 0.9.8l.

Следующий патч, кажется, решил проблему для меня.


источник