更新后 Curl NSS / SSL 错误

更新后 Curl NSS / SSL 错误

我使用自定义内部身份验证服务器。随着上一轮更新,它开始出现问题,显然是由于密码的变化。这是在 CentOS6 机器上,已完全更新。

curl https://crowd.test.org:8443 \
   --cacert /etc/pki/ca-trust/source/anchors/ca.crt \
   -vvv
* About to connect() to crowd.test.org port 8443 (#0)
*   Trying 192.XXX.XXX.XXX... connected
* Connected to crowd.test.org (192.XXX.XXX.XXX) port 8443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/ca-trust/source/anchors/ca.crt
  CApath: none
* NSS error -12173
* Closing connection #0
* SSL connect error
curl: (35) SSL connect error
You have mail in /var/mail/root

我检查了 nmap 并发现了受支持的密码 TLS_DHE_RSA_WITH_AES_128_CBC_SHA。在curl网站上检查了这一点,发现以下确实有效。

curl https://crowd.mydomain.org:8443 --cacert \
  /etc/pki/ca-trust/source/anchors/ca2.crt \
  -vvv --tlsv1.0 --ciphers rsa_aes_128_sha

我该如何纠正这个问题?我已经使用了传统上使用的降级方法,但没有成功。

yum history 
yum history undo 106 

答案1

基于https://mozilla.github.io/python-nss-docs/nss.error-module.html看起来这表明服务器的临时 Diffie-Hellman 密钥较弱:

SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY = -12173

我在服务器上看到过这个错误,确实是这样。

相关内容