Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > ger.ct > #647601 > unrolled thread

finde den Fehler

Started byFranz Brannt <address@is.invalid>
First post2025-09-24 20:09 +0200
Last post2025-09-26 06:18 +0200
Articles 6 — 2 participants

Back to article view | Back to ger.ct


Contents

  finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-24 20:09 +0200
    Re: finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-24 20:57 +0200
      Re: finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-24 21:04 +0200
        Re: finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-24 21:28 +0200
          Re: finde den Fehler Walter Brill <WalterBrill@t-online.de> - 2025-09-25 16:54 +0200
            Re: finde den Fehler Franz Brannt <address@is.invalid> - 2025-09-26 06:18 +0200

#647601 — finde den Fehler

FromFranz Brannt <address@is.invalid>
Date2025-09-24 20:09 +0200
Subjectfinde den Fehler
Message-ID<20250924200939.4448c41f9257f2b1032f39db@is.invalid>
Hallo,

liegt hier ein Problem vor? Und wenn ja, welches? Bin völliger Laie auf
dem Gebiet. Hintergrund ist, dass apt und curl kein https können in
einem WSL-Debian, wget aber schon. Ist https inspection denkbar? Oder
ein anderer man in the middle?

"
user@Debian:~$ openssl s_client -connect \\
download.documentfoundation.org:443 -showcerts
Connecting to 89.238.68.185
CONNECTED(00000003)
40176FCF3A730000:error:0A000126:SSL routines::unexpected eof while \\
reading:../ssl/record/rec_layer_s3.c:696:
---
no peer certificate available
---
No client certificate CA names sent
Negotiated TLS1.3 group: <NULL>
---
SSL handshake has read 0 bytes and written 1580 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Protocol: TLSv1.3
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
"

TIA

-- 
FB

[toc] | [next] | [standalone]


#647602

FromFranz Brannt <address@is.invalid>
Date2025-09-24 20:57 +0200
Message-ID<20250924205721.a542e9bceba93f937827ec72@is.invalid>
In reply to#647601
... und das passiert mit TLS 1.2:

"
user@Debian:~$ openssl s_client -connect \\
download.documentfoundation.org:80 -showcerts -tls1_2
Connecting to 89.238.68.185
CONNECTED(00000003)
40D7839B1D7B0000:error:0A0000C6:SSL \\
routines:tls_get_more_records:packet length too \\
long:../ssl/record/methods/tls_common.c:662:
40D7839B1D7B0000:error:0A000139:SSL routines::record layer \\
failure:../ssl/record/rec_layer_s3.c:696:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 238 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Protocol: TLSv1.2
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1758739762
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---
"

-- 
FB

[toc] | [prev] | [next] | [standalone]


#647603

FromFranz Brannt <address@is.invalid>
Date2025-09-24 21:04 +0200
Message-ID<20250924210442.00a03684588605e4548d9d31@is.invalid>
In reply to#647602
Ich schrieb:

> :80

Oops, Fehler, da sollte natürlich :443 stehen ... dann funktioniert es
anscheinend (werde ich hier nicht posten, bis auf "No client
certificate CA names sent" (?)) ... aber TLS 1.3 nicht (siehe OP).

-- 
FB

[toc] | [prev] | [next] | [standalone]


#647607

FromFranz Brannt <address@is.invalid>
Date2025-09-24 21:28 +0200
Message-ID<20250924212859.472930aca9a0c0079f5c8424@is.invalid>
In reply to#647603
Oh Gott, -trace gibt es auch noch ... und wireshark ... ein Fass ohne
Boden.

Auszug mit -trace:

"
user@Debian:~$ openssl s_client -connect \\
download.documentfoundation.org:443 -showcerts -trace
Connecting to 89.238.68.185
CONNECTED(00000003)

[...]

extension_type=compress_certificate(27), length=5 zlib (1)
          zstd (3)

Sent TLS Record
Header:
  Version = TLS 1.0 (0x301)
  Content Type = Alert (21)
  Length = 2
    Level=fatal(2), description=decode error(50)

40E78BC5BE7B0000:error:0A000126:SSL routines::unexpected eof while
reading:../ssl/record/rec_layer_s3.c:696:
---
no peer certificate available
---
No client certificate CA names sent
Negotiated TLS1.3 group: <NULL>
---

[...]
"

Ein decode error nach dem Schlüsselaustausch? Weil das Zertifikat
"falsch komprimiert" ist? zstd ist aber installiert ...

-- 
FB

[toc] | [prev] | [next] | [standalone]


#647678

FromWalter Brill <WalterBrill@t-online.de>
Date2025-09-25 16:54 +0200
Message-ID<mjl3dsF7iv4U2@mid.individual.net>
In reply to#647607
Hallo Ingrid,

hier werden Sie geholfen 
<https://docs.openssl.org/3.0/man1/openssl-s_client/>

Ciao
Walter

Am 24.09.25 um 21:28 schrieb Franz Brannt:
> 
> Oh Gott, -trace gibt es auch noch ... und wireshark ... ein Fass ohne
> Boden.
> 
> Auszug mit -trace:
> 
> "
> user@Debian:~$ openssl s_client -connect \\
> download.documentfoundation.org:443 -showcerts -trace
> Connecting to 89.238.68.185
> CONNECTED(00000003)
> 
> [...]
> 
> extension_type=compress_certificate(27), length=5 zlib (1)
>            zstd (3)
> 
> Sent TLS Record
> Header:
>    Version = TLS 1.0 (0x301)
>    Content Type = Alert (21)
>    Length = 2
>      Level=fatal(2), description=decode error(50)
> 
> 40E78BC5BE7B0000:error:0A000126:SSL routines::unexpected eof while
> reading:../ssl/record/rec_layer_s3.c:696:
> ---
> no peer certificate available
> ---
> No client certificate CA names sent
> Negotiated TLS1.3 group: <NULL>
> ---
> 
> [...]
> "
> 
> Ein decode error nach dem Schlüsselaustausch? Weil das Zertifikat
> "falsch komprimiert" ist? zstd ist aber installiert ...
> 

[toc] | [prev] | [next] | [standalone]


#647718

FromFranz Brannt <address@is.invalid>
Date2025-09-26 06:18 +0200
Message-ID<20250926061821.3b6a6661f3ed4cc4b79234e0@is.invalid>
In reply to#647678
Walter Brill schrieb:

> <https://docs.openssl.org/3.0/man1/openssl-s_client>

Wenn, dann 3.5, aber egal. Ja, sicher. Hätte ja sein können, dass hier
jemand auf Anhieb erkennt was faul ist und antwortet. Den Fehler über
die Doku heraus zu interpretieren dürfte mühsam werden. Es fehlen halt
auch praktische Netzwerkerfahrungswerte. Trotzdem danke.

-- 
FB

[toc] | [prev] | [standalone]


Back to top | Article view | ger.ct


csiph-web