No puedo olvidarme de github, error de apretón de manos sslv3

10

Tenemos un script que descarga mod security de github que recientemente comenzó a fallar. Los servidores ejecutan CentOS 6 pero RHEL 6 probablemente tenga el mismo problema. El resultado es:

# wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
--2014-07-22 18:49:46--  https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving github.com... 192.30.252.129
Connecting to github.com|192.30.252.129|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz [following]
--2014-07-22 18:49:47--  https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving cloud.github.com... 54.230.99.219, 205.251.219.190, 54.230.97.212, ...
Connecting to cloud.github.com|54.230.99.219|:443... connected.
OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Unable to establish SSL connection.

¿Alguna idea sobre cómo solucionar o solucionar esto?

centos wget github

— Kristofer
fuente

2

use otra aplicación, por ejemplocurl

— Rabin

1

Para ser más específicos, tanto 54.230.99.219 como varias de las (diferentes) A que obtengo para cloud.github.com dan una falla de apretón de manos a s_client sin la opción de ServerNameIndication. serverfault.com/questions/560053/… dice (hace varios meses) RedHat wget no hace SNI pero curl sí.

— dave_thompson_085

Te sientes afortunado de aceptar mi respuesta

— Anton Dozortsev

Bueno, para ser honesto, preferiría que @ dave_thompson_085 o Rabin publicaran sus comentarios como respuestas, ya que veo que es una solución más a largo plazo a pesar de que su solución también funciona muy bien.

— Kristofer

2

Si no me equivoco, te refieres a este repositorio . Intenta obtener lanzamientos de formularios URL .

Este caso funciona para mí:

$ wget https://github.com/SpiderLabs/ModSecurity/archive/v2.8.0.tar.gz

PD: También tengo el mismo mensaje de error cuando intento ejecutar su caso;

$ wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

— Anton Dozortsev
fuente

Hmm, esta URL no tiene un md5 :(

— Kristofer

raw.githubusercontent.com/$ {USER} / $ {REPO} /path/to/file.tar.gz

— Maksim Kostromin

10

Puedes usar el curlcomando para descargarlo:

curl -LO https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

— rajesh gupta
fuente

55

curl -L -Oes un mejor reemplazo para wget, ya que sigue las redirecciones HTTP (particularmente útil aquí ya que Github quiere señalarme a su CDN).

— rarefeatures

Además, una cosa con la que me encontré con las versiones en CentOS 6.5 es que curladmite SNI y wgetno lo hace, por lo que para algunos sitios wgeta veces se entregará el certificado del host incorrecto y se obtendrá un fallo de certificado, incluso si curlfunciona bien.

— rakslice

7

El lado del servidor ha deshabilitado el protocolo de enlace de cifrado SSLv3, debido a graves problemas de seguridad SSLv3. Además, su cliente wget es una versión desactualizada y todavía usa de manera predeterminada este cifrado SSLv3. Tienes 2 opciones:

use --secure-protocol = bandera TLSv1 delante de wget. wget --secure-protocol=TLSv1
instale una versión actualizada de wget que use como protocolo TLSv1 predeterminado

— Vassilis Blazos
fuente

5

Debe verificar su versión de wget.

Tuve el mismo problema con versiones anteriores de wget(<1.15).

— Dan
fuente

2

Parece que esto debería ser un comentario en contra de la pregunta, y no una respuesta.

— Danny Staple

0

En cuanto a la solución, si confía en el host intente especificar --no-check-certificateo agregar:

check_certificate = off

en su ~/.wgetrc(no recomendado).

En algunos casos raros, es causado por el tiempo de su sistema que podría estar fuera de sincronización, por lo tanto, invalida los certificados que funcionaban antes.

— kenorb
fuente