Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.lang.php > #4306

Re: php/curl Verbindungsproblem

Show all headers | View raw

Stefan Mayer wrote:

> […]
> Ebenso die Notierung der HTTP Kopfzeilen.
> Falsch:  ['Accept' => 'application/vnd.de.mobile.api+json']
> Richtig: ['Accept: application/vnd.de.mobile.api+json']

ACK, siehe auch <http://php.net/curl_setopt>.
 
> $ openssl s_client -connect api.test.sandbox.mobile.de:8080 -ssl3
> $ openssl s_client -connect api.test.sandbox.mobile.de:8080 -tls1_2
> 
> socket: Connection refused
> connect:errno=111
> 
> Keine weitere Ausgabe.
> 
> Zum Vergleich:
> 
> $ openssl s_client -connect google.com:443 -tls1_2
> Secure Renegotiation IS supported
> 
> $ openssl s_client -connect google.com:443 -ssl3
> 140365874095760:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version
> number:s3_pkt.c:348: Secure Renegotiation IS NOT supported
> 
> Zur Fehlermeldung war das https://access.redhat.com/solutions/56428 für
> mich am Aussagekräfigsten.
> 
> TLS 1.2 wird unterstützt SSLv3 nicht.
                          ^ ,

SSLv3 ist veraltet und unsicher.  TLS ist der sicherere Nachfolger von SSL.

<https://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0.2C_2.0_and_3.0>

> Der Sandkasten (proxy) von mobile unterstützt beides nicht?

Kann ich nicht bestädtchen.

> Wieso wirft google den Fehler, die Sandbox aber nicht?

$ openssl s_client -connect api.test.sandbox.mobile.de:8080 -ssl3
CONNECTED(00000003)
139907876908568:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version 
number:s3_pkt.c:365:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1510072342
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

$ curl --version
curl 7.50.1 (x86_64-pc-linux-gnu) libcurl/7.50.1 GnuTLS/3.5.3 zlib/1.2.8 
libidn/1.33 libssh2/1.7.0 nghttp2/1.14.0 librtmp/2.3
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 
pop3s rtmp rtsp scp sftp smb smbs smtp smtps telnet tftp 
Features: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB 
SSL libz TLS-SRP HTTP2 UnixSockets 
 
> # Ein Testsystem in der lokalen VM, schon älter.
> 
> curl --version (x86_64-pc-linux-gnu) libcurl/7.38.0 OpenSSL/1.0.1t
> libssh2/1.4.3

Bitte Eingabe und Ausgabe beim Posten ebenso voneinander trennen wie 
Hauptsätze.
 
> Die curl/openssl Versionen sind gleich wie bei Hetzner?

Das ist eine sinnlose Frage.
 
> […]
> Allerdings, der direkte Aufruf per curl oder script verbindet wie folgt.
> 
> $ curl -vs ...
> * Establish HTTP proxy tunnel to services.mobile.de:443
>> CONNECT services.mobile.de:443 HTTP/1.1
> < HTTP/1.1 200 Connection established
> * SSLv3, TLS handshake, Client hello (1):
> * SSLv3, TLS handshake, Server hello (2):
> * SSLv3, TLS handshake, Finished (20):
                          ^^^^^^^^
> * SSL connection using TLSv1.2 / AES256-SHA
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> * Server certificate:
> *  issuer: C=US; O=Symantec Corporation; OU=Symantec Trust Network;
> CN=Symantec Class 3 EV SSL CA - G3
> 
> "SSLv3" Handschlag vs. "connection using TLSv1.2"?
> 
> Welches Protokoll ist den nun für die Verbindung in ausgehandelt?

TLS 1.2, wie man sieht.
 
> Also mein Testsystem akzeptiert SSLv3?

Möglich.

> Mit welchen Argumenten ruft curl dann openssl auf, bzw. tut es das
> überhaupt?

man strace
 
> # Es gibt noch ein Ubuntu
> 
> curl 7.47.0 (x86_64-pc-linux-gnu) libcurl/7.47.0 GnuTLS/3.4.10 zlib/1.2.8
> libidn/1.32 librtmp/2.3
> 
> Dieses curl benutzt nicht OpenSSL.

Unwahrscheinlich.

> Die alles entscheidende Frage lautet: Wieso verbindet der Server bei
> Hetzner nicht? Meine Vermutung: Es ist das Fehlen der SSLv3 Unterstützung
> bei Hetzner. Mein Testumgebung, weil nicht so gut gepflegt, akzeptiert
> das. MinGW ist neuer und unterstützt ebenfalls kein SSLv3.

Das hat alles nichts mit PHP-Programmierung zu tun.  Frag in einer Netzwerk- 
oder Security-Gruppe.
 
> Nur, was hat dann "SSL connection using TLSv1.2" zu bedeuten?
> Was hat der SSLv3 Handshake mit anschließendem "using TLSv1.2" zu
> bedeuten? 

Wer lesen kann, ist hier klar im Vorteil.

> Ich muss mich wohl damit zufrieden geben, dass meine Vermutung zur Ursache
> vielleicht richtig ist und die Produktiv-Umgebung bei mobile.de
> wahrscheinlich schon "funktionieren" wird.

Nein, musst Du nicht.  Du musst Dich informieren gehen, bevor Du etwas tust.
Derlei planloses Herumgestochere führt höchstens *zufällig* zu sinnvollen 
Ergebnissen.

-- 
PointedEars
Zend Certified PHP Engineer <http://www.zend.com/en/yellow-pages/ZEND024953>
<https://github.com/PointedEars> | <http://PointedEars.de/wsvn>
Twitter: @PointedEars2 | Please do not cc me./Bitte keine Kopien per E-Mail.

Back to de.comp.lang.php | Previous | Next — Previous in thread | Next in thread | Find similar

Thread

php/curl Verbindungsproblem Stefan Mayer <meniskus@gmx.net> - 2017-11-05 13:48 +0100
  Re: php/curl Verbindungsproblem "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-11-05 13:59 +0100
    Re: php/curl Verbindungsproblem Stefan Mayer <meniskus@gmx.net> - 2017-11-06 20:41 +0100
      Re: php/curl Verbindungsproblem Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2017-11-07 17:54 +0100
        Re: php/curl Verbindungsproblem Stefan Mayer <meniskus@gmx.net> - 2017-11-10 00:27 +0100
          Re: php/curl Verbindungsproblem Tom <weiksch@gmail.com> - 2018-10-06 08:26 -0700
  Re: php/curl Verbindungsproblem Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2017-11-05 20:26 +0100

csiph-web