¿Openssl errno 104 significa que SSLv2 está deshabilitado?

13

Quiero verificar si mi servidor tiene SSLv2 deshabilitado. Estoy haciendo esto intentando conectarme remotamente con openssl con el siguiente comando de shell.

openssl s_client -connect HOSTNAME:443 -ssl2

La mayoría de la literatura que pude encontrar en Internet dice que si veo algo similar al siguiente error, entonces SSLv2 está desactivado correctamente.

29638:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Obtengo el error anterior cuando me conecto a mi servidor Ubuntu con SSLv2 deshabilitado en Apache Apache pero cuando me conecto a mi servidor Windows Server 2008 R2 con SSLv2 deshabilitado en el registro obtengo el siguiente resultado y error.

CONNECTED(00000003)
write:errno=104

No puedo encontrar ninguna literatura que explique este resultado y este error. Si alguien pudiera explicarme si esta salida y este error y por qué significa que SSLv2 está desactivado correctamente, lo agradecería.

¡Gracias!

ssl  openssl 
David
fuente

Respuestas:

14

Al menos en Linux, 104 es ECONNRESETpara "Restablecer la conexión por igual"; en otras palabras, la conexión se cerró por la fuerza con un paquete TCP RST, ya sea enviado por el servidor o falsificado por un intermediario.

Intentaría Wireshark / tshark en el servidor Ubuntu para ver qué se envía realmente. Si el RST es real, podría ser que el proceso httpd falle, verifique los archivos de registro y por dmesgsi acaso.

El sitio web Qualys SSL Server Test puede mostrar todas las versiones SSL / TLS compatibles con su servidor web. (Desafortunadamente, ni siquiera se molesta con TLS SNI ...)

usuario1686
fuente
Entonces, me pregunto si el paquete TCP RST se envía desde Windows Server 2008 R2 cuando un cliente intenta conectarse con SSLv2 cuando el servidor tiene SSLv2 deshabilitado
David
Su cortafuegos suele ser el único intermediario que envía el paquete RST. Pero si ese no es el problema, a veces forzar SSL3 con la -ssl3opción o usar la -servernameopción puede superar esto.
Amit Naidu
-3

Es probable que haya una falta de coincidencia entre los cifrados admitidos por su servidor y los admitidos por el servidor del destinatario.

Tom
fuente
3
¿Cómo se confirma esto? ¿Cómo lo resuelve alguien una vez que lo ha confirmado? Conozco personalmente las respuestas a estas preguntas, pero es posible que otros no lo sepan, de ahí la razón por la que existen.
Ramhound
-3

Tuve el mismo error y estaba relacionado con la interfaz MTU. Establecer la interfaz de cliente MTU en 1492 (era 1500), resolvió este error para mí.

Daniel Roque
fuente
2
Esto podría haber resuelto su problema, pero su problema no tuvo nada que ver con la configuración o compatibilidad de cifrado SSL. Si bien esta respuesta podría haber resuelto su problema, no es aplicable al problema del autor, ya que no está relacionada con esta pregunta.
Ramhound
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.