"SSL синтаксичний аналіз помилок tlsext" на великій передачі SVN через Apache, Gentoo

10

Це трапляється лише на великих комісіях (у результаті чого відбувається невдала комісія):

Розкриваючий розділ з конфігурації віртуального хоста в Apache

   <ЗРІЗНИК ОКОНУВАННЯ ЗВІТУ ВІДПОВІДНИХ ОПЦІЙ>
      Потрібен дійсний користувач
   </LimitExcept>
   Дав свн
   SVNPath / головна / svn /

Виконати результат:

Передача даних про файл .............................. svn: Помилка введення
(деталі випливають):
svn: PUT of
'/!svn/wrk/48583f7d-0e01-410d-8941-33d2ba3574b4/WAP/.../htdocs/images/rt.gif':
Помилка узгодження SSL: помилка SSL: розбір tlsext (https: // ...)

Я знайшов посилання на нього тут: http://code.google.com/p/support/isissue/detail?id=1395

заявляючи, що OpenSSL слід компілювати з розширенням TLS, але в моєму випадку він не помиляється на початку, лише на великих комісіях.

Будь-які ідеї? Дякую

apache-2.2  svn  gentoo 
Кароліс Т.
джерело
чи є квиток на цей помилка apache httpd bugtracker?
користувач28271

Відповіді:

7

Я не стикався з цією проблемою, але я провів деякий час, гуляючи навколо, і виявив, що вона, можливо, була введена в Apache 2.2.12 або 13. Пропонується, що пониження до 2.2.11 може виправити це, а також встановити SSLProtocol - ВСЕ + SSLv2 + SSLv3 у вашій конфігурації Apache. Жоден з них не здавався остаточним. Удачі! Сподіваюся, ви знайдете рішення.

http://subversion.tigris.org/ds/viewMessage.do?dsForumId=1065&dsMessageId=2393204

Джефф Снайдер
джерело
Додавання SSLProtocol -ALL + SSLv2 + SSLv3 працювало і для мене.
Що для цього варто, у мене була та сама проблема, і додавання SSLProtocol -ALL + SSLv2 + SSLv3, як було сказано вище, вирішило цю проблему для мене.
Адам Карр
У мене була ця сама проблема, намагаючись підключитися з Рубі 1.9.3. З будь-якої причини Ruby 1.9.2 не була проблемою. І помилка сталася негайно під час використання сертифіката клієнта. Зміна мого конфіга від SSLProtocol all -SSLv2до SSLProtocol ALL -SSLv2 -TLSv1фіксованого питання для мене.
aNoble
1
Зверніть увагу, що SSLv2 застаріло з 1996 року
Джаред Бек
5

ОНОВЛЕННЯ

Прочитавши нитку http-dev про цю проблему, заархівовану за адресою http://www.gossamer-threads.com/lists/apache/dev/375633 , здається, ця проблема викликана помилкою у бібліотеці OpenSSL на стороні клієнта у щодо того, як обробляються квитки / ідентифікатори SSL, що пояснює, чому помилка виникає не відразу, а займає кілька секунд до хвилин. Ця резолюція була визначена 2 листопада, за три дні до виходу OpenSSL 0.9.8l. Потік не вказує явно, якщо / коли виправлення було застосовано до OpenSSL, але я думаю, що це те, що ми можемо передбачити, що він буде виправлений у 0,9,8 м, що, на мою думку, охоплено цим записом у m-beta журналі зміни:

*) Виправлено обробку відновлення сеансу без стану. Використовуйте початковий_ctx при видачі та спробі розшифрувати квитки, якщо вони змінилися під час обробки імені сервера. Використовуйте ідентифікатор сеансу, що не має нульової довжини, при спробі відновлення сеансу без стану: це дозволяє визначити, чи відновлення відбулося одразу після отримання привіт сервера (кілька місць у OpenSSL тонко припускають це), а не пізніше в рукостисканні.

ОРИГІНАЛЬНА ПОСТ

У мене є подібні проблеми на Apache-2.2.14 в Gentoo. Для довідки, ось мої прапорці USE:

[ebuild   R   ] dev-libs/openssl-0.9.8l-r2  USE="zlib -bindist -gmp -kerberos -sse2 -test" 4,082 kB
[ebuild   R   ] www-servers/apache-2.2.14-r1  USE="ssl -debug -doc -ldap (-selinux) -static -suexec -threads" APACHE2_MODULES="actions alias auth_basic auth_digest authn_dbd authn_default authn_file authz_default authz_groupfile authz_host authz_user autoindex dav dav_fs dav_lock dbd deflate dir env expires headers include info log_config logio mime mime_magic negotiation proxy proxy_balancer proxy_connect proxy_http rewrite setenvif status unique_id userdir -asis -authn_alias -authn_anon -authn_dbm -authz_dbm -authz_owner -cache -cern_meta -charset_lite -disk_cache -dumpio -ext_filter -file_cache -filter* -ident -imagemap -log_forensic -mem_cache -proxy_ajp -proxy_ftp -speling -substitute -usertrack* -version -vhost_alias" APACHE2_MPMS="prefork -event -itk -peruser -worker" 5,088 kB
[ebuild   R   ] net-misc/neon-0.29.0  USE="expat nls ssl zlib -doc -gnutls -kerberos -libproxy -pkcs11" LINGUAS="-cs -de -fr -ja -nn -pl -ru -tr -zh_CN" 859 kB
[ebuild   R   ] dev-util/subversion-1.6.6  USE="apache2 bash-completion dso nls perl python ruby webdav-neon -berkdb -ctypes-python -debug -doc -emacs -extras -gnome-keyring -java -sasl -test -vim-syntax -webdav-serf" 5,384 kB

Це відбувається при будь-якій комбінації SSLProtocol з TLSv1включеною

Якщо я налаштував свій SSLProtocolна видалення TLSv1, я отримаю нову помилку:

svn: PUT of '/!svn/wrk/0b9f5a96-15aa-11df-ad6a-0f71b873281b/project/trunk/path/btn_Cancel.gif': SSL handshake failed: SSL error: bad decompression (https://svn.mudbugmedia.com)

Це відбувається приблизно в той же час, коли я зіткнувся з помилкою "розбору tlsext".

Гейб Мартін-Демпесі
джерело
Оновлення мого клієнта SVN з 1.6 до 1.7 вирішило проблему "розбору tlsext" для мене, підтримуючи пропозицію @ gabe-martin-dempesy, що "ця проблема викликана помилкою в бібліотеці OpenSSL на стороні клієнта"
Джаред Бек
0

Ця проблема є найбільш поширеною через використання декількох включених SSL VirtualHosts в Apache httpd 2.2.12 - 2.2.14 та OpenSSL 0.9.8f - 0.9.8l.

Наступний патч, здається, вирішує проблему для мене.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.