[Eppnicbr] EPP não conecta ao atualizar SSL

Daniel Cassiani Rezende vrx_drezende at uolinc.com
Wed Jul 29 11:24:21 BRT 2015 

Bom dia,


Eu atualizei pelo YUM o OpenSSL, mas os erros continuam os mesmos no SHEPP:
- CentOS release 5.4 (Final)
- OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

- Comandos no EPP:
server beta.registro.br
port 700
user xx_SEGREDO_xx
pw xx_SEGREDO_xx
client-pem /opt/shepp/share/libepp_nicbr/ssl/client.pem
pass xx_SEGREDO_xx
connect

server beta.registro.br:700
ERROR! Transport Exception [1003]:
[Error connecting SSL object]
[error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm]



Testei o certificado e OpenSSL segundo o esse tutorial sobre OpenSSL:
https://www.madboa.com/geek/openssl/#cert-test

E segue o resultado (aparentemente, tudo OK) recebido via browser, acessando o https do certificado (o que foi obtido em ftp://ftp.registro.br/pub/libepp-nicbr/test-certificates/ ):


openssl s_server -cert /opt/shepp/share/libepp_nicbr/ssl/client.pem -www
Ciphers supported in s_server binary
TLSv1/SSLv3:DHE-RSA-AES256-SHA       TLSv1/SSLv3:DHE-DSS-AES256-SHA
TLSv1/SSLv3:AES256-SHA               TLSv1/SSLv3:KRB5-DES-CBC3-MD5
TLSv1/SSLv3:KRB5-DES-CBC3-SHA        TLSv1/SSLv3:EDH-RSA-DES-CBC3-SHA
TLSv1/SSLv3:EDH-DSS-DES-CBC3-SHA     TLSv1/SSLv3:DES-CBC3-SHA
SSLv2      :DES-CBC3-MD5             TLSv1/SSLv3:DHE-RSA-AES128-SHA
TLSv1/SSLv3:DHE-DSS-AES128-SHA       TLSv1/SSLv3:AES128-SHA
SSLv2      :RC2-CBC-MD5              TLSv1/SSLv3:KRB5-RC4-MD5
TLSv1/SSLv3:KRB5-RC4-SHA             TLSv1/SSLv3:RC4-SHA
TLSv1/SSLv3:RC4-MD5                  SSLv2      :RC4-MD5
TLSv1/SSLv3:KRB5-DES-CBC-MD5         TLSv1/SSLv3:KRB5-DES-CBC-SHA
TLSv1/SSLv3:EDH-RSA-DES-CBC-SHA      TLSv1/SSLv3:EDH-DSS-DES-CBC-SHA
TLSv1/SSLv3:DES-CBC-SHA              SSLv2      :DES-CBC-MD5
TLSv1/SSLv3:EXP-KRB5-RC2-CBC-MD5     TLSv1/SSLv3:EXP-KRB5-DES-CBC-MD5
TLSv1/SSLv3:EXP-KRB5-RC2-CBC-SHA     TLSv1/SSLv3:EXP-KRB5-DES-CBC-SHA
TLSv1/SSLv3:EXP-EDH-RSA-DES-CBC-SHA  TLSv1/SSLv3:EXP-EDH-DSS-DES-CBC-SHA
TLSv1/SSLv3:EXP-DES-CBC-SHA          TLSv1/SSLv3:EXP-RC2-CBC-MD5
SSLv2      :EXP-RC2-CBC-MD5          TLSv1/SSLv3:EXP-KRB5-RC4-MD5
TLSv1/SSLv3:EXP-KRB5-RC4-SHA         TLSv1/SSLv3:EXP-RC4-MD5
SSLv2      :EXP-RC4-MD5
---
Ciphers common between both SSL end points:
DHE-RSA-AES128-SHA         DHE-RSA-AES256-SHA         AES128-SHA
AES256-SHA                 DES-CBC3-SHA
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES128-SHA
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES128-SHA
    Session-ID: EA20BFC1D0135FD33A82FACD30317734FB2D4FE5139A4154AA03C1C9D1ACE9B0
    Session-ID-ctx: 01000000
    Master-Key: CFEEECABF4E0CE4024BEAD07D09942C0BC81E9B2E11D5022F7D7C40DA67AF19736323B9DCAA9A46B62D479966E2026F3
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1438178955
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
   4 items in the session cache
   0 client connects (SSL_connect())
   0 client renegotiates (SSL_connect())
   0 client connects that finished
   5 server accepts (SSL_accept())
   0 server renegotiates (SSL_accept())
   5 server accepts that finished
   0 session cache hits
   0 session cache misses
   0 session cache timeouts
   0 callback cache hits
   0 cache full overflows (128 allowed)
---
no client certificate available

Aparentemente está tudo ok. Alguma idéia? Estamos tendo perdas financeira com essa atualização de certificado...


OBS: Só pra constar, da mesma máquina, o telnet funciona normalmente da mesma máquina:

telnet beta.registro.br 700
Trying 200.160.2.6...
Connected to beta.registro.br (200.160.2.6).
Escape character is '^]'.



Daniel Cassiani Rezende

________________________________

AVISO: A informação contida neste e-mail, bem como em qualquer de seus anexos, é CONFIDENCIAL e destinada ao uso exclusivo do(s) destinatário(s) acima referido(s), podendo conter informações sigilosas e/ou legalmente protegidas. Caso você não seja o destinatário desta mensagem, informamos que qualquer divulgação, distribuição ou cópia deste e-mail e/ou de qualquer de seus anexos é absolutamente proibida. Solicitamos que o remetente seja comunicado imediatamente, respondendo esta mensagem, e que o original desta mensagem e de seus anexos, bem como toda e qualquer cópia e/ou impressão realizada a partir destes, sejam permanentemente apagados e/ou destruídos. Informações adicionais sobre nossa empresa podem ser obtidas no site http://sobre.uol.com.br/.

NOTICE: The information contained in this e-mail and any attachments thereto is CONFIDENTIAL and is intended only for use by the recipient named herein and may contain legally privileged and/or secret information.
If you are not the e-mail´s intended recipient, you are hereby notified that any dissemination, distribution or copy of this e-mail, and/or any attachments thereto, is strictly prohibited. Please immediately notify the sender replying to the above mentioned e-mail address, and permanently delete and/or destroy the original and any copy of this e-mail and/or its attachments, as well as any printout thereof. Additional information about our company may be obtained through the site http://www.uol.com.br/ir/.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://eng.registro.br/pipermail/eppnicbr/attachments/20150729/223d8d99/attachment-0001.html>

More information about the eppnicbr mailing list