Apakah openssl errno 104 berarti bahwa SSLv2 dinonaktifkan?

13

Saya ingin memeriksa apakah server saya menonaktifkan SSLv2. Saya melakukan ini dengan mencoba menghubungkan dari jarak jauh dengan openssl dengan perintah shell berikut.

openssl s_client -connect HOSTNAME:443 -ssl2

Kebanyakan literatur yang bisa saya temukan di Internet mengatakan jika saya melihat sesuatu yang mirip dengan kesalahan berikut ini maka SSLv2 dinonaktifkan dengan benar.

29638:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Saya mendapatkan kesalahan di atas ketika menghubungkan ke server Ubuntu saya dengan SSLv2 dinonaktifkan di Apache Apache tetapi ketika saya terhubung ke server Windows Server 2008 R2 saya dengan SSLv2 dinonaktifkan di registri saya mendapatkan output dan kesalahan berikut.

CONNECTED(00000003)
write:errno=104

Saya tidak dapat menemukan literatur yang menjelaskan output dan kesalahan ini. Jika ada yang bisa menjelaskan kepada saya jika dan mengapa output dan kesalahan ini berarti SSLv2 dinonaktifkan dengan benar, saya akan sangat menghargainya.

Terima kasih!

David
sumber

Jawaban:

14

Setidaknya di Linux, 104 adalah ECONNRESETuntuk "Koneksi reset oleh rekan" - dengan kata lain, koneksi ditutup secara paksa dengan paket TCP RST, baik dikirim oleh server atau dipalsukan oleh perantara.

Saya akan mencoba Wireshark / tshark di server Ubuntu untuk melihat apa yang sebenarnya dikirim. Jika RST nyata, bisa jadi proses httpd mati - periksa file log dan untuk dmesgberjaga-jaga.


Situs web Qualys SSL Server Test dapat menampilkan semua versi SSL / TLS yang didukung oleh server web Anda. (Sayangnya, bahkan tidak peduli dengan TLS SNI ...)

pengguna1686
sumber
Jadi saya bertanya-tanya apakah paket TCP RST dikirim dari Windows Server 2008 R2 ketika klien mencoba untuk terhubung dengan SSLv2 ketika server menonaktifkan SSLv2
David
Firewall Anda biasanya adalah perantara yang mengirim paket RST. Tetapi jika itu bukan masalahnya, terkadang memaksa SSL3 dengan -ssl3opsi atau menggunakan -servernameopsi bisa melewati ini.
Amit Naidu
-3

Kemungkinan ada ketidakcocokan antara cipher yang didukung oleh server Anda, dan yang didukung oleh server penerima.

Tom
sumber
3
Bagaimana seseorang mengonfirmasi hal ini? Bagaimana seseorang mengatasinya setelah mereka mengkonfirmasinya? Saya tahu jawaban atas pertanyaan-pertanyaan ini secara pribadi, tetapi orang lain mungkin tidak tahu, karena itu alasan mereka ada pertanyaan ini.
Ramhound
-3

Saya memiliki kesalahan yang sama dan itu terkait dengan antarmuka MTU. Mengatur antarmuka klien MTU ke 1492 (1500), memecahkan kesalahan ini untuk saya.

Daniel Roque
sumber
2
Ini mungkin telah memecahkan masalah Anda, tetapi masalah Anda tidak ada hubungannya dengan kompatibilitas dan / atau konfigurasi sandi SSL. Meskipun jawaban ini mungkin telah memecahkan masalah Anda, itu tidak berlaku untuk masalah penulis, karena tidak terkait dengan pertanyaan ini.
Ramhound