Означает ли openssl errno 104, что SSLv2 отключен?

13

Я хочу проверить, отключен ли на моем сервере протокол SSLv2. Я делаю это, пытаясь удаленно подключиться к openssl с помощью следующей команды оболочки.

openssl s_client -connect HOSTNAME:443 -ssl2

Большая часть литературы, которую я могу найти в Интернете, говорит, что если я вижу что-то похожее на следующую ошибку, то SSLv2 правильно отключен.

29638:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Я получаю вышеуказанную ошибку при подключении к моему серверу Ubuntu с отключенным SSLv2 в Apache Apache, но когда я подключаюсь к своему серверу Windows Server 2008 R2 с отключенным SSLv2 в реестре, я получаю следующие выходные данные и ошибку.

CONNECTED(00000003)
write:errno=104

Я не могу найти литературу, объясняющую этот вывод и ошибку. Если бы кто-нибудь мог объяснить мне, если и почему этот вывод и ошибка означают, что SSLv2 правильно отключен, я был бы признателен.

Спасибо!

Дэвид
источник

Ответы:

14

По крайней мере, в Linux 104 предназначен ECONNRESETдля «сброса соединения по одноранговому узлу» - иными словами, соединение было принудительно закрыто с помощью пакета TCP RST, либо отправленного сервером, либо подделанного посредником.

Я бы попробовал Wireshark / tshark на сервере Ubuntu, чтобы увидеть, что на самом деле отправляется. Если RST реальна, возможно, что процесс httpd умер - проверьте файлы журналов и на dmesgвсякий случай.


На веб-сайте Qualys SSL Server Test могут отображаться все версии SSL / TLS, поддерживаемые вашим веб-сервером. (К сожалению, это даже не беспокоит TLS SNI ...)

user1686
источник
Поэтому мне интересно, отправляется ли пакет TCP RST из Windows Server 2008 R2, когда клиент пытается соединиться с SSLv2, когда на сервере отключен SSLv2
David
Ваш межсетевой экран обычно является тем посредником, который отправляет пакет RST. Но если это не проблема, иногда принудительное использование SSL3 с помощью -ssl3опции или ее использование -servernameможет обойти это.
Амит Найду
-3

Вероятно, существует несоответствие между шифрами, которые поддерживаются вашим сервером, и теми, которые поддерживаются сервером получателя.

Том
источник
3
Как это подтвердить? Как кто-то разрешает это после того, как он это подтвердил? Я знаю ответы на эти вопросы лично, но другие могут не знать, поэтому причина, по которой они задают этот вопрос, существует.
Ramhound
-3

У меня была такая же ошибка, и это было связано с интерфейсом MTU. Установка клиентского интерфейса MTU на 1492 (это было 1500), решило эту ошибку для меня.

Даниэль Рок
источник
2
Возможно, это решило вашу проблему, но ваша проблема не имела ничего общего с совместимостью и / или конфигурацией шифра SSL. Хотя этот ответ мог бы решить вашу проблему, он не применим к проблеме автора, поскольку он не связан с этим вопросом.
Ramhound