Hallo zusammen,
nachdem ich im Forum von Arch Linux ARM bisher keine Rückmeldung bekommen habe und meine Frage bei archlinux.org direkt geschlossen wurde (keine ArchLinuxARM-Themen), ist mir eingefallen, dass es ja noch das deutsche Forum zu Arch Linux gibt. Ich hoffe, dass ich hier vielleicht ein paar Tipps und Hinweise bekomme, die mir bei meinem Problem weiterhelfen können (zumindest habe ich keinen Hinweis entdeckt, dass hier ARM-Themen nicht erwünscht sind).
Ich hab vor ca. 2 Jahren ArchLinuxARM auf meinem Cubietruck installiert und bin bisher damit auch sehr gut gefahren. Aber seit ein paar Wochen (leider kann ich den genauen Zeitpunkt nicht nennen) kann ich mich nicht mehr per OpenSSL mit "einigen" Servern verbinden.
Wenn ich z.B. versuche zu framagit.org eine Verbindung aufzubauen:
openssl s_client -connect framagit.org:443 -state -nbio
bekomme ich nur folgendes:
CONNECTED(00000003)
Turned on non blocking io
SSL_connect:before SSL initialization
SSL_connect:SSLv3/TLS write client hello
SSL_connect:error in SSLv3/TLS write client hello
write R BLOCK
Und da hängt der Verbindungsaufbau. Auch nach mehrminütigem warten passiert nichts mehr.
Darauf habe ich im Netz nach einer Lösung gesucht, bin aber nicht richtig weiter gekommen. Irgendwann bin ich dann auf das Paket "openssl-1.0" gestoßen, habe dieses installiert und damit funktioniert es:
CONNECTED(00000003)
turning on non blocking io
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:error in SSLv2/v3 read server hello A
write R BLOCK
SSL_connect:unknown state
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = framagit.org
verify return:1
SSL_connect:unknown state
SSL_connect:unknown state
SSL_connect:unknown state
SSL_connect:unknown state
SSL_connect:unknown state
SSL_connect:unknown state
SSL_connect:unknown state
SSL_connect:error in unknown state
SSL_connect:error in unknown state
read R BLOCK
SSL_connect:unknown state
SSL_connect:unknown state
read R BLOCK
---
Certificate chain
0 s:/CN=framagit.org
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
Weggelassen zwecks besserer Übersicht
-----END CERTIFICATE-----
subject=/CN=framagit.org
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3907 bytes and written 433 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 0EDF20CED7F039A1FA302AABCFD7A19B7F3B43F3783ACEDF4BE671AB67167E96
Session-ID-ctx:
Master-Key: A85A6A8F985A13D2C5DB516B16C045351366EDD97841C6D258082004CF107EF601CC875860AC3A0948EA1474BAD1A452
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - c1 01 0d 76 07 06 5a 63-4b 5d cd 66 aa 14 3c 39 ...v..ZcK].f..<9
0010 - 2a 1a c8 1b 9a d1 f5 4d-78 bc 80 95 e0 d4 65 91 *......Mx.....e.
0020 - 8f a7 11 d5 a9 7b e2 e3-6a 98 8c 72 90 71 26 e7 .....{..j..r.q&.
0030 - 1b a7 c8 c4 31 93 a4 7a-2c 70 7d 32 3e bf bf 03 ....1..z,p}2>...
0040 - 19 3a e6 a2 5a 8d 9c c3-6a bc 45 8c 57 37 e9 50 .:..Z...j.E.W7.P
0050 - c9 a8 86 7d 7d 08 52 23-70 45 32 ff 90 10 c7 a2 ...}}.R#pE2.....
0060 - d4 09 ca ff 26 0e e5 55-71 9e 1b b1 65 d8 83 dd ....&..Uq...e...
0070 - 0d 17 0a 00 ae 3b d2 e3-40 e0 83 f6 37 ba 22 a0 .....;..@...7.".
0080 - 78 fb 66 61 0f 0c 16 78-e9 ca c9 17 62 81 9a 6f x.fa...x....b..o
0090 - 93 bf 14 f3 22 e3 5b 8f-d7 7e 33 65 09 49 3b 29 ....".[..~3e.I;)
00a0 - 61 2b c1 ad 59 69 8c f1-be 32 76 e8 b5 19 fe 7c a+..Yi...2v....|
Start Time: 1535812383
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
Blöd ist, dass die Programme wie git etc. von openssl abhängig sind und dann mit den entsprechenden Seiten ebenfalls nicht funkionieren. Explizit framagit ist für mich damit so nicht mehr nutzbar.
Neben meinem Cubietruck habe ich auch noch ein "normales" Arch auf einem Desktop-Rechner installiert. Dort funktioniert die Verbindung reibungslos.
Die Konfigurationsdateien von openssl habe ich auch schon verglichen. Die sind auf beiden Rechnern identisch
Ich vermute, dass da irgendwas mit meinen Zertifikaten nicht stimmt oder vielleicht nicht mehr aktuell ist, bin auf diesem Gebiet aber nicht zu Hause.
Es wäre super, wenn mir da jemand einen Tipp geben könnte, in welche Richtung ich weiter suchen muss. Momentan komme ich alleine leider nicht weiter.
Vielen Dank schon mal im Voraus,
Thorsten