Статус: Участник
Группы: Участники
Зарегистрирован: 18.05.2022(UTC) Сообщений: 16  Сказал(а) «Спасибо»: 1 раз
|
Автор: pd  С TLSv1.2 получается, с TLSv1.3 ошибки.
Если у вас TLSv1.3 на сервере, ограничьте TLSv1.2.
Возможно пока нет поддержки аутентификации в TLSv1.3. Попробовал. Проблемы на TLSv1.2 и TLSv1.3 выглядят по-разному, но в любом случае есть. Пока успел только снять трафик, если надо что-то ещё, в понедельник смогу происследовать.  traffic.zip (362kb) загружен 1 раз(а).P.S. То, что работает - Edge, для сравнения. То что не работает - хромиум гост. Отредактировано пользователем 27 мая 2022 г. 16:45:01(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.05.2022(UTC) Сообщений: 16 Сказал(а) «Спасибо»: 1 раз
|
Автор: Евгений Рябцев Попробовал. Проблемы на TLSv1.2 и TLSv1.3 выглядят по-разному, но в любом случае есть. Пока успел только снять трафик, если надо что-то ещё, в понедельник смогу происследовать. Попробовал с TLSv1.2 и ГОСТом. Снял трафик с --tlsmode=1 и без. Пока не работает. Куда дальше копать? https://expirebox.com/files/f681...ad8e9b1ea4ae50bd3939.zip
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,479
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 33 раз
Поблагодарили: 440 раз в 321 постах
|
|
|
 2 пользователей поблагодарили pd за этот пост.
|
Андрей * оставлено 11.06.2022(UTC), nickm оставлено 11.06.2022(UTC)
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,479
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 33 раз
Поблагодарили: 440 раз в 321 постах
|
Автор: Евгений Рябцев Автор: pd С TLSv1.2 получается, с TLSv1.3 ошибки.
Если у вас TLSv1.3 на сервере, ограничьте TLSv1.2.
Возможно пока нет поддержки аутентификации в TLSv1.3. Попробовал. Проблемы на TLSv1.2 и TLSv1.3 выглядят по-разному, но в любом случае есть. Пока успел только снять трафик, если надо что-то ещё, в понедельник смогу происследовать. traffic.zip (362kb) загружен 1 раз(а).P.S. То, что работает - Edge, для сравнения. То что не работает - хромиум гост. Автор: Евгений Рябцев Автор: Евгений Рябцев Попробовал. Проблемы на TLSv1.2 и TLSv1.3 выглядят по-разному, но в любом случае есть. Пока успел только снять трафик, если надо что-то ещё, в понедельник смогу происследовать. Попробовал с TLSv1.2 и ГОСТом. Снял трафик с --tlsmode=1 и без. Пока не работает. Куда дальше копать? https://expirebox.com/files/f681...ad8e9b1ea4ae50bd3939.zip Во всех вариантах (3 варианта дампов), инициатором ошибок является сервер. Поэтому дальше копать в сторону логов сервера. Также, можете написать нам по шагам как вашу проблему воспроизводить с нуля. Возможно имеет место проблема совместимости TLS реализаций. Это надо решить. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.05.2022(UTC) Сообщений: 16 Сказал(а) «Спасибо»: 1 раз
|
Автор: pd Во всех вариантах (3 варианта дампов), инициатором ошибок является сервер. Вот, честно говоря, не сложилось такой уверенности. Например, по TLS1.2.pcap. Инициатором ошибки является сервер, но вроде ясно что ему не нравится: ему не нравится отсутствие клиентского сертификата. Клиент не предъявил сертификат, сервер закрывает соединение с сообщением об ошибке. Хотелось бы добиться, чтобы клиент предъявил сертификат и посмотреть на реакцию сервера. По TLS1.2 + ГОСТ.pcap. Соединения tcp.port==53803..53805 закрывает клиент, после как будто годного ответа сервера, соединение tcp.port==53806 закрыто сервером после получения пустого списка клиентских сертификатов. Как минимум в этих случаях я бы ожидал как минимум появления запроса браузера на выбор клиентского сертификата. Автор: pd Поэтому дальше копать в сторону логов сервера.
Также, можете написать нам по шагам как вашу проблему воспроизводить с нуля. Возможно имеет место проблема совместимости TLS реализаций. Это надо решить. Со стороны сервера Astra Linux (Orel 2.12.44) + openssl* + поправленный libgost (штатный - крэшится). Делаю примерно так: Цитата:sudo openssl s_server -cert Aura.crt.gost -key Aura.key.gost -CAfile Trusted.pem -accept 443 -Verify 10 Клиентом с той же машины делаю примерно так: Цитата:openssl s_client -connect localhost:443 -cert Aura.crt.gost -key Aura.key.gost -CAfile Trusted.pem Также клиентом пытаюсь использовать браузер. Подробности прилагаю (gostkeys - сами опыты, *.txt - логи, также сертификаты, ключи, поправленный libgost и т.п.; пароль на .p12: 1234) *На боевую будет собственное приложение над openssl на базе mongoose web server, но пока пусть заработает так. Отредактировано пользователем 14 июня 2022 г. 16:09:18(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,479
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 33 раз
Поблагодарили: 440 раз в 321 постах
|
Автор: Евгений Рябцев Автор: pd Во всех вариантах (3 варианта дампов), инициатором ошибок является сервер. Вот, честно говоря, не сложилось такой уверенности. Например, по TLS1.2.pcap. Инициатором ошибки является сервер, но вроде ясно что ему не нравится: ему не нравится отсутствие клиентского сертификата. Клиент не предъявил сертификат, сервер закрывает соединение с сообщением об ошибке. Хотелось бы добиться, чтобы клиент предъявил сертификат и посмотреть на реакцию сервера. По TLS1.2 + ГОСТ.pcap. Соединения tcp.port==53803..53805 закрывает клиент, после как будто годного ответа сервера, соединение tcp.port==53806 закрыто сервером после получения пустого списка клиентских сертификатов. Как минимум в этих случаях я бы ожидал как минимум появления запроса браузера на выбор клиентского сертификата. Автор: pd Поэтому дальше копать в сторону логов сервера.
Также, можете написать нам по шагам как вашу проблему воспроизводить с нуля. Возможно имеет место проблема совместимости TLS реализаций. Это надо решить. Со стороны сервера Astra Linux (Orel 2.12.44) + openssl* + поправленный libgost (штатный - крэшится). Делаю примерно так: Цитата:sudo openssl s_server -cert Aura.crt.gost -key Aura.key.gost -CAfile Trusted.pem -accept 443 -Verify 10 Клиентом с той же машины делаю примерно так: Цитата:openssl s_client -connect localhost:443 -cert Aura.crt.gost -key Aura.key.gost -CAfile Trusted.pem Также клиентом пытаюсь использовать браузер. Подробности прилагаю (gostkeys - сами опыты, *.txt - логи, также сертификаты, ключи, поправленный libgost и т.п.; пароль на .p12: 1234) *На боевую будет собственное приложение над openssl на базе mongoose web server, но пока пусть заработает так. Возможно проблема была в перехвате работы с сертификатами: https://github.com/deemr...9f1e285b1d69ac870cba08f8Можете проверить на этой версии с "--tlsmode=1": https://update.cryptopro.ru/temp/chromium-gost/ |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.05.2022(UTC) Сообщений: 16 Сказал(а) «Спасибо»: 1 раз
|
Автор: pd К сожалению, на вид ничего не поменялось. Из логов сервера: Цитата:...
SSL_accept:SSLv3/TLS write certificate
...
SSL_accept:SSLv3/TLS write certificate request
...
SSL_accept:SSLv3/TLS write server done
read from 0x654add3daa90 [0x654add3f2af8] (186 bytes => 186 (0xBA))
0000 - 0b 00 00 03 00 00 00 10-00 00 af 30 81 ac 30 81 ...........0..0.
0010 - a9 30 28 04 20 0f 84 4d-3d 25 ea bc c9 27 f8 33 .0(. ..M=%...'.3
0020 - cf db 69 39 c2 8d c1 69-b3 9f cf 3c 39 1c ff 0a ..i9...i...<9...
0030 - 58 2a 55 62 9e 04 04 6d-6a fd 60 a0 7d 06 09 2a X*Ub...mj.`.}..*
0040 - 85 03 07 01 02 05 01 01-a0 66 30 1f 06 08 2a 85 .........f0...*.
0050 - 03 07 01 01 01 01 30 13-06 07 2a 85 03 02 02 23 ......0...*....#
0060 - 01 06 08 2a 85 03 07 01-01 02 02 03 43 00 04 40 ...*........C..@
0070 - a5 78 38 51 e5 7b 28 51-2a e7 9f 9a 65 4d 78 5f .x8Q.{(Q*...eMx_
0080 - 0e c3 2a a3 19 d1 c8 85-73 84 b7 21 41 a6 8f 4f ..*.....s..!A..O
0090 - 99 ee b7 41 8b 8c 4c a1-27 d1 06 30 ac d9 6b 2c ...A..L.'..0..k,
00a0 - 6e 11 de 1b f0 ba 9f 5e-79 28 2c 24 ca b2 43 12 n......^y(,$..C.
00b0 - 04 08 48 ad 2c 36 6f f3-33 2a ..H.,6o.3*
<<< TLS 1.2, Handshake [length 0007], Certificate
0b 00 00 03 00 00 00
>>> ??? [length 0005]
15 03 03 00 02
write to 0x654add3daa90 [0x654add3fad00] (7 bytes => 7 (0x7))
0000 - 15 03 03 00 02 02 28 ......(
>>> TLS 1.2, Alert [length 0002], fatal handshake_failure
02 28
SSL3 alert write:fatal:handshake failure
SSL_accept:error in error
ERROR
140526256722880:error:1417C0C7:SSL routines:tls_process_client_certificate:peer did not return a certificate:../ssl/statem/statem_srvr.c:3699: При установке --tlsmode=1 слетел, но я вернул, тестил с ним. Запроса на выбор сертификата не происходит.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,479
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 33 раз
Поблагодарили: 440 раз в 321 постах
|
Автор: Евгений Рябцев Автор: pd К сожалению, на вид ничего не поменялось. Из логов сервера: Цитата:...
SSL_accept:SSLv3/TLS write certificate
...
SSL_accept:SSLv3/TLS write certificate request
...
SSL_accept:SSLv3/TLS write server done
read from 0x654add3daa90 [0x654add3f2af8] (186 bytes => 186 (0xBA))
0000 - 0b 00 00 03 00 00 00 10-00 00 af 30 81 ac 30 81 ...........0..0.
0010 - a9 30 28 04 20 0f 84 4d-3d 25 ea bc c9 27 f8 33 .0(. ..M=%...'.3
0020 - cf db 69 39 c2 8d c1 69-b3 9f cf 3c 39 1c ff 0a ..i9...i...<9...
0030 - 58 2a 55 62 9e 04 04 6d-6a fd 60 a0 7d 06 09 2a X*Ub...mj.`.}..*
0040 - 85 03 07 01 02 05 01 01-a0 66 30 1f 06 08 2a 85 .........f0...*.
0050 - 03 07 01 01 01 01 30 13-06 07 2a 85 03 02 02 23 ......0...*....#
0060 - 01 06 08 2a 85 03 07 01-01 02 02 03 43 00 04 40 ...*........C..@
0070 - a5 78 38 51 e5 7b 28 51-2a e7 9f 9a 65 4d 78 5f .x8Q.{(Q*...eMx_
0080 - 0e c3 2a a3 19 d1 c8 85-73 84 b7 21 41 a6 8f 4f ..*.....s..!A..O
0090 - 99 ee b7 41 8b 8c 4c a1-27 d1 06 30 ac d9 6b 2c ...A..L.'..0..k,
00a0 - 6e 11 de 1b f0 ba 9f 5e-79 28 2c 24 ca b2 43 12 n......^y(,$..C.
00b0 - 04 08 48 ad 2c 36 6f f3-33 2a ..H.,6o.3*
<<< TLS 1.2, Handshake [length 0007], Certificate
0b 00 00 03 00 00 00
>>> ??? [length 0005]
15 03 03 00 02
write to 0x654add3daa90 [0x654add3fad00] (7 bytes => 7 (0x7))
0000 - 15 03 03 00 02 02 28 ......(
>>> TLS 1.2, Alert [length 0002], fatal handshake_failure
02 28
SSL3 alert write:fatal:handshake failure
SSL_accept:error in error
ERROR
140526256722880:error:1417C0C7:SSL routines:tls_process_client_certificate:peer did not return a certificate:../ssl/statem/statem_srvr.c:3699: При установке --tlsmode=1 слетел, но я вернул, тестил с ним. Запроса на выбор сертификата не происходит. Можете наружу ваш сервер выставить на предмет потыкать палкой? Что-то не сходится. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.05.2022(UTC) Сообщений: 16 Сказал(а) «Спасибо»: 1 раз
|
Автор: pd Можете наружу ваш сервер выставить на предмет потыкать палкой? Что-то не сходится. Выставил на svey.net:4443 (сейчас онлайн, но на ночь может отключиться; завтра в любом случае включу).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,479
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 33 раз
Поблагодарили: 440 раз в 321 постах
|
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
