Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > ger.ct > #647601 > unrolled thread
| Started by | Franz Brannt <address@is.invalid> |
|---|---|
| First post | 2025-09-24 20:09 +0200 |
| Last post | 2025-09-26 06:18 +0200 |
| Articles | 6 — 2 participants |
Back to article view | Back to ger.ct
finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-24 20:09 +0200
Re: finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-24 20:57 +0200
Re: finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-24 21:04 +0200
Re: finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-24 21:28 +0200
Re: finde den Fehler Walter Brill <WalterBrill@t-online.de> - 2025-09-25 16:54 +0200
Re: finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-26 06:18 +0200
| From | Franz Brannt <address@is.invalid> |
|---|---|
| Date | 2025-09-24 20:09 +0200 |
| Subject | finde den Fehler |
| Message-ID | <20250924200939.4448c41f9257f2b1032f39db@is.invalid> |
Hallo, liegt hier ein Problem vor? Und wenn ja, welches? Bin völliger Laie auf dem Gebiet. Hintergrund ist, dass apt und curl kein https können in einem WSL-Debian, wget aber schon. Ist https inspection denkbar? Oder ein anderer man in the middle? " user@Debian:~$ openssl s_client -connect \\ download.documentfoundation.org:443 -showcerts Connecting to 89.238.68.185 CONNECTED(00000003) 40176FCF3A730000:error:0A000126:SSL routines::unexpected eof while \\ reading:../ssl/record/rec_layer_s3.c:696: --- no peer certificate available --- No client certificate CA names sent Negotiated TLS1.3 group: <NULL> --- SSL handshake has read 0 bytes and written 1580 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Protocol: TLSv1.3 This TLS version forbids renegotiation. Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok) --- " TIA -- FB
[toc] | [next] | [standalone]
| From | Franz Brannt <address@is.invalid> |
|---|---|
| Date | 2025-09-24 20:57 +0200 |
| Message-ID | <20250924205721.a542e9bceba93f937827ec72@is.invalid> |
| In reply to | #647601 |
... und das passiert mit TLS 1.2:
"
user@Debian:~$ openssl s_client -connect \\
download.documentfoundation.org:80 -showcerts -tls1_2
Connecting to 89.238.68.185
CONNECTED(00000003)
40D7839B1D7B0000:error:0A0000C6:SSL \\
routines:tls_get_more_records:packet length too \\
long:../ssl/record/methods/tls_common.c:662:
40D7839B1D7B0000:error:0A000139:SSL routines::record layer \\
failure:../ssl/record/rec_layer_s3.c:696:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 238 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Protocol: TLSv1.2
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1758739762
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
"
--
FB
[toc] | [prev] | [next] | [standalone]
| From | Franz Brannt <address@is.invalid> |
|---|---|
| Date | 2025-09-24 21:04 +0200 |
| Message-ID | <20250924210442.00a03684588605e4548d9d31@is.invalid> |
| In reply to | #647602 |
Ich schrieb: > :80 Oops, Fehler, da sollte natürlich :443 stehen ... dann funktioniert es anscheinend (werde ich hier nicht posten, bis auf "No client certificate CA names sent" (?)) ... aber TLS 1.3 nicht (siehe OP). -- FB
[toc] | [prev] | [next] | [standalone]
| From | Franz Brannt <address@is.invalid> |
|---|---|
| Date | 2025-09-24 21:28 +0200 |
| Message-ID | <20250924212859.472930aca9a0c0079f5c8424@is.invalid> |
| In reply to | #647603 |
Oh Gott, -trace gibt es auch noch ... und wireshark ... ein Fass ohne
Boden.
Auszug mit -trace:
"
user@Debian:~$ openssl s_client -connect \\
download.documentfoundation.org:443 -showcerts -trace
Connecting to 89.238.68.185
CONNECTED(00000003)
[...]
extension_type=compress_certificate(27), length=5 zlib (1)
zstd (3)
Sent TLS Record
Header:
Version = TLS 1.0 (0x301)
Content Type = Alert (21)
Length = 2
Level=fatal(2), description=decode error(50)
40E78BC5BE7B0000:error:0A000126:SSL routines::unexpected eof while
reading:../ssl/record/rec_layer_s3.c:696:
---
no peer certificate available
---
No client certificate CA names sent
Negotiated TLS1.3 group: <NULL>
---
[...]
"
Ein decode error nach dem Schlüsselaustausch? Weil das Zertifikat
"falsch komprimiert" ist? zstd ist aber installiert ...
--
FB
[toc] | [prev] | [next] | [standalone]
| From | Walter Brill <WalterBrill@t-online.de> |
|---|---|
| Date | 2025-09-25 16:54 +0200 |
| Message-ID | <mjl3dsF7iv4U2@mid.individual.net> |
| In reply to | #647607 |
Hallo Ingrid, hier werden Sie geholfen <https://docs.openssl.org/3.0/man1/openssl-s_client/> Ciao Walter Am 24.09.25 um 21:28 schrieb Franz Brannt: > > Oh Gott, -trace gibt es auch noch ... und wireshark ... ein Fass ohne > Boden. > > Auszug mit -trace: > > " > user@Debian:~$ openssl s_client -connect \\ > download.documentfoundation.org:443 -showcerts -trace > Connecting to 89.238.68.185 > CONNECTED(00000003) > > [...] > > extension_type=compress_certificate(27), length=5 zlib (1) > zstd (3) > > Sent TLS Record > Header: > Version = TLS 1.0 (0x301) > Content Type = Alert (21) > Length = 2 > Level=fatal(2), description=decode error(50) > > 40E78BC5BE7B0000:error:0A000126:SSL routines::unexpected eof while > reading:../ssl/record/rec_layer_s3.c:696: > --- > no peer certificate available > --- > No client certificate CA names sent > Negotiated TLS1.3 group: <NULL> > --- > > [...] > " > > Ein decode error nach dem Schlüsselaustausch? Weil das Zertifikat > "falsch komprimiert" ist? zstd ist aber installiert ... >
[toc] | [prev] | [next] | [standalone]
| From | Franz Brannt <address@is.invalid> |
|---|---|
| Date | 2025-09-26 06:18 +0200 |
| Message-ID | <20250926061821.3b6a6661f3ed4cc4b79234e0@is.invalid> |
| In reply to | #647678 |
Walter Brill schrieb: > <https://docs.openssl.org/3.0/man1/openssl-s_client> Wenn, dann 3.5, aber egal. Ja, sicher. Hätte ja sein können, dass hier jemand auf Anhieb erkennt was faul ist und antwortet. Den Fehler über die Doku heraus zu interpretieren dürfte mühsam werden. Es fehlen halt auch praktische Netzwerkerfahrungswerte. Trotzdem danke. -- FB
[toc] | [prev] | [standalone]
Back to top | Article view | ger.ct
csiph-web