ไม่สามารถลองจาก github ข้อผิดพลาดการจับมือ sslv3

10

เรามีสคริปต์ที่ดาวน์โหลด mod ความปลอดภัยจาก github ที่เพิ่งเริ่มล้มเหลว เซิร์ฟเวอร์เรียกใช้ CentOS 6 แต่ RHEL 6 อาจมีปัญหาเดียวกัน ผลลัพธ์คือ:

# wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
--2014-07-22 18:49:46--  https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving github.com... 192.30.252.129
Connecting to github.com|192.30.252.129|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz [following]
--2014-07-22 18:49:47--  https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving cloud.github.com... 54.230.99.219, 205.251.219.190, 54.230.97.212, ...
Connecting to cloud.github.com|54.230.99.219|:443... connected.
OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Unable to establish SSL connection.

มีความคิดเห็นเกี่ยวกับวิธีแก้ไขหรือแก้ไขปัญหานี้หรือไม่

centos wget github

— Kristofer
แหล่งที่มา

2

ใช้แอปพลิเคชันอื่นเช่นcurl

— Rabin

2

เพื่อให้มีความเฉพาะเจาะจงมากขึ้นทั้ง 54.230.99.219 และ A (ต่างกัน) ของ A ที่ฉันได้รับสำหรับ cloud.github.com ทำให้ handshake ล้มเหลวในการจับมือกับ s_client โดยไม่มีตัวเลือกสำหรับ ServerNameIndication serverfault.com/questions/560053/…พูดว่า (หลายเดือนที่ผ่านมา) RedHat ไม่ได้ทำ SNI แต่ curl ทำ

— dave_thompson_085

คุณรู้สึกโชคดีที่ได้รับคำตอบ

— Anton Dozortsev

เอาเป็นว่าฉันอยากได้ถ้า @ dave_thompson_085 หรือ Rabin โพสต์ความคิดเห็นของพวกเขาเป็นคำตอบตามที่ฉันเห็นว่าเป็นวิธีแก้ปัญหาระยะยาวมากขึ้นแม้ว่าวิธีแก้ปัญหาของคุณก็ใช้งานได้ดีเช่นกัน!

— Kristofer

2

ถ้าฉันไม่ผิดคุณหมายถึงrepoนี้ พยายามที่จะรับแบบฟอร์ม URL ข่าว

กรณีนี้ใช้ได้สำหรับฉัน:

$ wget https://github.com/SpiderLabs/ModSecurity/archive/v2.8.0.tar.gz

PS ฉันยังมีข้อผิดพลาดเดียวกันเมื่อพยายามเรียกใช้กรณีของคุณ;

$ wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

— Anton Dozortsev
แหล่งที่มา

อืม URL นี้ไม่มี md5 แม้ว่า :(

— Kristofer

raw.githubusercontent.com/$ {USER} / $ {REPO} /path/to/file.tar.gz

— Maksim Kostromin

10

คุณสามารถใช้curlคำสั่งเพื่อดาวน์โหลด:

curl -LO https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

— rajesh gupta
แหล่งที่มา

5

curl -L -Oเป็นการแทนที่ที่ดีกว่าwgetเนื่องจากตามการเปลี่ยนเส้นทาง HTTP (มีประโยชน์อย่างยิ่งที่นี่เนื่องจาก Github ต้องการให้ฉันชี้ไปที่ CDN)

— คุณสมบัติแปลกประหลาด

นอกจากนี้สิ่งหนึ่งที่ฉันพบกับเวอร์ชันใน CentOS 6.5 คือcurlรองรับ SNI และwgetไม่ดังนั้นบางไซต์wgetจะให้บริการใบรับรองสำหรับโฮสต์ที่ไม่ถูกต้องและทำให้ใบรับรองล้มเหลวแม้ว่าจะcurlทำงานได้ดีก็ตาม

— rakslice

7

ฝั่งเซิร์ฟเวอร์ปิดใช้งานการจับมือการเข้ารหัส SSLv3 เนื่องจากปัญหาด้านความปลอดภัยที่รุนแรง SSLv3 นอกจากนี้ไคลเอ็นต์ wget ของคุณเป็นรุ่นที่ล้าสมัยและยังคงใช้เป็นค่าเริ่มต้นการเข้ารหัส SSLv3 นี้ คุณมี 2 ตัวเลือก:

ใช้ --secure-protocol = การตั้งค่าสถานะ TLSv1 หน้า wget wget --secure-protocol=TLSv1
ติดตั้ง wget รุ่นปรับปรุงที่ใช้เป็นโปรโตคอล TLSv1 ที่เป็นค่าเริ่มต้น

— Vassilis Blazos
แหล่งที่มา

5

คุณควรตรวจสอบเวอร์ชั่นของคุณ

ฉันมีปัญหาเดียวกันกับรุ่นเก่ากว่าwget(<1.15)

— แดน
แหล่งที่มา

2

ดูเหมือนว่าสิ่งนี้ควรเป็นความเห็นต่อคำถามไม่ใช่คำตอบ

— Danny Staple

0

สำหรับวิธีแก้ไขหากคุณเชื่อว่าโฮสต์ลองระบุ--no-check-certificateหรือเพิ่ม:

check_certificate = off

เป็นของคุณ~/.wgetrc(ไม่แนะนำ)

ในบางกรณีที่เกิดขึ้นได้ยากมันเกิดจากเวลาระบบของคุณซึ่งอาจทำให้ไม่ซิงค์ดังนั้นการทำให้ใบรับรองที่ใช้งานไม่ได้มาก่อน

— kenorb
แหล่งที่มา

-1

ลองสิ่งนี้:

update-crypto-policies --set LEGACY

— José Luis GonzálezChacón
แหล่งที่มา

3

ยินดีต้อนรับสู่เว็บไซต์และขอขอบคุณสำหรับการสนับสนุนของคุณ คุณคิดจะแก้ไขการโพสต์ของคุณเพื่อรวมคำอธิบายบางอย่างหรือไม่โดยเฉพาะอย่างยิ่งอาการที่อธิบายโดย OP ทำให้คุณสามารถสรุปได้ว่านโยบาย crypto เป็นปัญหาและทำไมการเปลี่ยนพวกเขาด้วยวิธีนี้สามารถแก้ไขได้? ความคิดคือการมีคำตอบในตัวเองให้มากที่สุดเท่าที่จะเป็นไปได้เพื่อให้เป็นประโยชน์ไม่เพียง แต่สำหรับ OP เท่านั้น แต่คนอื่น ๆ ก็เผชิญกับปัญหาที่คล้ายกันเช่นกัน

— AdminBee

1

หากนี่เป็นเครื่องมือที่แนะนำโดย RHEL 8 คุณควรพูดเช่นนั้นและตระหนักว่าคำถามนี้เกี่ยวกับ RHEL6

— Jeff Schaller