Рукопожатие Tls терпит неудачу, хотя шифровальные наборы в общем
У меня возникли некоторые проблемы при создании безопасного подключения к www.howsmyssl.com/a/check. Я использую wolfSSL для подключения, однако, рукопожатие всегда терпит неудачу (FATAL ERROR alert 40). Я попытался прослушать сеть, чтобы посмотреть в пакеты, чтобы увидеть, что именно отправлено и какие наборы шифров поддерживаются, и я вижу, что согласно тесту ssllabs, howsmyssl.com и мой клиент имеют общие наборы шифров. Поэтому я не знаю, где произошла ошибка. Это след клиента:
И это ссылка на анализ ssllabs на www.howsmyssl.com. Здесь вы можете видеть, что у них есть общие ciphersuites (например, 0xc02f), поэтому я думаю, что соединение должно быть успешным, или я что-то упустил?
РЕДАКТИРОВАТЬ: Вот журналы отладки wolfssl
[0;32mI (6565) openssl_example: OpenSSL demo thread start OK[0m
[0;33mW (6565) openssl_example: Size of long = 4, Size of longlong = 8
[0m
[0;32mI (6565) openssl_example: get target IP address[0m
[0;32mI (6595) openssl_example: OK[0m
[0;32mI (6595) openssl_example: 104.196.190.195[0m
wolfSSL Entering wolfSSL_Init
wolfSSL Entering wolfCrypt_Init
[0;32mI (6595) openssl_example: create SSL context ......[0m
wolfSSL Entering WOLFSSL_CTX_new_ex
wolfSSL Entering wolfSSL_CertManagerNew
wolfSSL Leaving WOLFSSL_CTX_new, return 0
[0;32mI (6615) openssl_example: OK[0m
wolfSSL Entering wolfSSL_CTX_set_verify
wolfSSL Entering wolfSSL_CTX_load_verify_buffer
Getting into SSL_FILETYPE_PEM if
Processing CA PEM file
wolfSSL Entering PemToDer
Adding a CA
wolfSSL Entering GetExplicitVersion
wolfSSL Entering GetSerialNumber
Got Cert Header
wolfSSL Entering GetAlgoId
wolfSSL Entering GetObjectId()
Got Algo ID
Getting Cert Name
Getting Cert Name
Got Subject Name
wolfSSL Entering GetAlgoId
wolfSSL Entering GetObjectId()
Got Key
Parsed Past Key
wolfSSL Entering DecodeCertExtensions
wolfSSL Entering GetObjectId()
wolfSSL Entering DecodeSubjKeyId
wolfSSL Entering GetObjectId()
wolfSSL Entering DecodeAuthKeyId
wolfSSL Entering GetObjectId()
wolfSSL Entering DecodeBasicCaConstraint
wolfSSL Entering GetAlgoId
wolfSSL Entering GetObjectId()
Parsed new CA
Freeing Parsed CA
Freeing der CA
OK Freeing der CA
wolfSSL Leaving AddCA, return 0
1
Processed a CA
wolfSSL Entering PemToDer
Couldn't find PEM header
-372
CA Parse failed, no progress in file.
Do not continue search for other certs in file
Processed at least one valid CA. Other stuff OK
[0;32mI (6715) openssl_example: create socket ......[0m
[0;32mI (6725) openssl_example: OK[0m
[0;32mI (6725) openssl_example: bind socket ......[0m
[0;32mI (6735) openssl_example: OK[0m
[0;32mI (6735) openssl_example: socket connect to remote www.howsmyssl.com ......[0m
[0;32mI (6865) openssl_example: OK[0m
[0;32mI (6865) openssl_example: create SSL ......[0m
wolfSSL Entering SSL_new
wolfSSL Leaving SSL_new, return 0
[0;32mI (6865) openssl_example: OK[0m
wolfSSL Entering SSL_set_fd
wolfSSL Entering SSL_set_read_fd
wolfSSL Leaving SSL_set_read_fd, return 1
wolfSSL Entering SSL_set_write_fd
wolfSSL Leaving SSL_set_write_fd, return 1
[0;32mI (6885) openssl_example: SSL connected to www.howsmyssl.com port 443 ......[0m
wolfSSL Entering SSL_connect()
growing output buffer
Shrinking output buffer
connect state: CLIENT_HELLO_SENT
received record layer msg
got ALERT!
Got alert
wolfSSL error occurred, error = 40
wolfSSL error occurred, error = -313
[0;32mI (7065) openssl_example: OK[0m
wolfSSL Entering wolfSSL_get_cipher
wolfSSL Entering SSL_get_current_cipher
wolfSSL Entering SSL_CIPHER_get_name
wolfSSL Entering wolfSSL_get_cipher_name_from_suite
READ USED CIPHERSUITE: NONE
[0;32mI (7085) openssl_example: send https request to www.howsmyssl.com port 443 ......[0m
wolfSSL Entering SSL_write()
handshake not complete, trying to finish
wolfSSL Entering wolfSSL_negotiate
wolfSSL Entering SSL_connect()
ProcessReply retry in error state, not allowed
wolfSSL error occurred, error = -313
wolfSSL Leaving wolfSSL_negotiate, return -1
wolfSSL Leaving SSL_write(), return -1
[0;32mI (7115) openssl_example: failed[0m
wolfSSL Entering SSL_shutdown()
wolfSSL Leaving SSL_shutdown(), return -1
wolfSSL Entering SSL_free
CTX ref count not 0 yet, no free
wolfSSL Leaving SSL_free, return 0
wolfSSL Entering SSL_CTX_free
CTX ref count down to 0, doing full free
wolfSSL Entering wolfSSL_CertManagerFree
wolfSSL Leaving SSL_CTX_free, return 0
I (14055) wifi: pm start, type:0
ОБНОВЛЕНИЕ Я попытался соединиться с www.google.com, и это успешно. В мой код не было внесено никаких изменений, поэтому я думаю, что это будет проблема с сервером. Тем не менее, когда я подключаюсь к www.howsmyssl.com с помощью mbedtls, запрос также выполняется успешно, и после сравнения пакетов по анализу сети я не вижу каких-либо существенных различий.
1 ответ
Простое распространение Client Hello от клиента здесь не поможет. Вам необходимо собрать несколько журналов, связанных с SSL. Я не эксперт по wolfssl, но, похоже, он предоставляет дополнительные журналы, когда вы компилируете его с помощью --enable-debug. Я ссылался на это: WolfSL - SSL Alert фатальная ошибка
Cipher Suites - не единственное, что может пойти не так. Если сервер ожидал определенного расширения TLS в Client Hello в определенном формате, и если оно не было принято даже в этом случае, Сервер может прекратить квитирование.
Смотрите эту ветку для справки: SSL handshake_failure после clientHello
Без журналов отладки это будет похоже на съемку в темноте.
ОБНОВИТЬ:
Итак, это ошибки в журналах:
wolfSSL error occurred, error = 40
wolfSSL error occurred, error = -313
313 означает, что серверу не понравилось одно из следующих сообщений, отправленных клиентом:
- Наборы шифров
- Расширения TLS
Поскольку вы уже указали поддерживаемые кривые, вы можете попробовать включить наборы шифров статического ключа. Похоже, они отключены по умолчанию в WolfSSL. WolfSSL - Поддерживаемые комплекты шифров