আমি ত্রুটি পাচ্ছি: SSL3_GET_RECORD: ডিক্রিপশন ব্যর্থ হয়েছে বা খারাপ রেকর্ড ম্যাক

আমার নিজের সার্ভার রয়েছে (যেখানে আমি চলছে Apache/2.4.27) এবং আজ বুঝতে পেরেছি (সাহসী এবং গুগল ক্রোম - বিভিন্ন কম্পিউটার) থেকে আমি আমার ওয়েবসাইটগুলি থেকে এই ত্রুটিটি পাচ্ছি;

This site can’t provide a secure connection

mywebsite.com sent an invalid response.
ERR_SSL_PROTOCOL_ERROR

এবং আশ্চর্যের বিষয় হ'ল আমি আমার ওয়েবসাইটে প্রতি পঞ্চম ক্লিক এ ত্রুটিটি পাচ্ছি।

আমার কনফিড ফাইল থেকে:

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/mywebsite/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mywebsite/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateChainFile /etc/letsencrypt/live/mywebsite/chain.pem
SSLCompression off

থেকে options-ssl-apache.conf;

SSLProtocol             all -SSLv2 -SSLv3
SSLCipherSuite          EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder     on
SSLCompression          off

আমি ওয়েবসাইট থেকে লগ ফাইলটি পরীক্ষা করেছি তবে কিছুই নয়, এখানে কিছুই নয়; /var/log/apache2/error.log

আমি এই ত্রুটিটি কী কারণে ঘটছে তা সনাক্ত করার চেষ্টা করছি, আমি আরও তথ্য বা আরও ভাল কোথায় পেতে পারি এই ধারণাটি কীভাবে সমাধান করবেন?

সম্পাদনা করুন:

যদি আমি চেষ্টা করি openssl s_client -connect mywebsite.com:443তবে তা ফিরে আসবে:

আমি ব্যাবহার করছি: OpenSSL 1.1.0f

CONNECTED(00000003)

...

3073276480:error:1408F119:SSL routines:ssl3_get_record:decryption failed or bad record mac:../ssl/record/ssl3_record.c:469:

অন্য সম্পাদনা:

@ কোয়াড্রপলবাকির পরামর্শ অনুসারে আমি বিকল্পগুলি-এসএসএল-অ্যাপাচি কোডফ এ পরিবর্তিত করেছি:

SSLProtocol             all -SSLv2 -SSLv3
SSLCipherSuite           HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
SSLHonorCipherOrder     on
SSLCompression          off

#SSLSessionTickets       off

আমি SSLProtocol all -SSLv2 -SSLv3আমার ভার্চুয়ালহোস্ট কনফার্ট ফাইলটিতে যুক্ত করার চেষ্টাও করেছি এবং একই সাথে আমি এখানে দুটি জিনিস পরিবর্তন করেছি;/etc/apache2/mods-available/ssl.conf

#SSLCipherSuite HIGH:!aNULL
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

SSLHonorCipherOrder on

#   The protocols to enable.
#   Available values: all, SSLv3, TLSv1, TLSv1.1, TLSv1.2
#   SSL v2  is no longer supported
SSLProtocol all -SSLv2 -SSLv3

সম্পাদনা করুন:

লগ-লেভেলটিকে এতে পরিবর্তন করার পরে Infoফিরে আসে:

[Sat Jul 08 13:34:53.374307 2017] [ssl:info] [pid 8710] [client] AH02008: SSL library error 1 in handshake (server mywebsite:443)
[Sat Jul 08 13:34:53.374717 2017] [ssl:info] [pid 8710] SSL Library Error: error:140940F4:SSL routines:ssl3_read_bytes:unexpected message
[Sat Jul 08 13:34:53.374750 2017] [ssl:info] [pid 8710] [client] AH01998: Connection closed to child 1 with abortive shutdown (server mywebsite:443)

সম্পাদনা করুন:

যদি আমি এই বিকল্পটি -crlf দিয়ে চলেছি:

openssl s_client -crlf -connect mywebsite:443

আমি কোন ত্রুটি পাচ্ছি?

লগ-লেভেলকে ডিবাগ-এ পরিবর্তন করা হলে আরও একটি জিনিস, ত্রুটি হওয়ার আগে আমি এটি পাচ্ছি:

[Tue Jul 11 23:00:38.641568 2017] [core:debug] [pid 26561] protocol.c(1273): [client 188.64.25.162:23165] AH00566: request failed: malformed request line
[Tue Jul 11 23:00:38.641634 2017] [headers:debug] [pid 26561] mod_headers.c(900): AH01503: headers: ap_headers_error_filter()

সুতরাং এর পরে একই ত্রুটি ঘটবে:

SSL Library Error: error:140940F4:SSL routines:ssl3_read_bytes:unexpected message

openssl version
OpenSSL 1.1.0f  25 May 2017

আপনি যদি এই সার্ভারটি এসএসএলভি 3 বা টিএলএসভি 1 এর সাথে আলোচনা করছেন তবে আপনি এই ত্রুটিটি বলতে পারবেন না (আপনি ইউনিক্স এবং লিনাক্সে এই প্রশ্নটি দেখতে চান এবং এটি অ্যাপাচে সর্বত্র অক্ষম করা হয়েছে তা নিশ্চিত করতে চান ...) --- 1.1.0f গিটহাবে এখানে উত্স কোডটি ইচ্ছাকৃতভাবে দু'টিকে ব্লার করে ...

   if (enc_err < 0) {
    /*
     * A separate 'decryption_failed' alert was introduced with TLS 1.0,
     * SSL 3.0 only has 'bad_record_mac'.  But unless a decryption
     * failure is directly visible from the ciphertext anyway, we should
     * not reveal which kind of error occurred -- this might become
     * visible to an attacker (e.g. via a logfile)
     */
    al = SSL_AD_BAD_RECORD_MAC;
    SSLerr(SSL_F_SSL3_GET_RECORD,
           SSL_R_DECRYPTION_FAILED_OR_BAD_RECORD_MAC);
    goto f_err;
}

সুতরাং আপনি নিজের সাইফার স্যুটটি পুনরায় অর্ডার করতে চাইতে পারেন:

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

পুডেল দুর্বলতার বিষয়ে জিজ্ঞাসুবুন্টুতে এই পোস্টে এসএসএল পরিদর্শন এবং নদীর গভীরতানির্ণয়ের জন্য সংস্থানগুলির একটি দুর্দান্ত তালিকা রয়েছে।

মজিলা কনফিগার জেনারেটর একটি দুর্দান্ত পাবলিক সার্ভিস।

"প্রতি পঞ্চম ক্লিকে এই ত্রুটি পাওয়া" মন্তব্যটি কিছুটা অদ্ভুত। আপনি কি ক্লিকে বোঝাতে চেয়েছেন বা প্রতিটি পঞ্চম লাইনটি লগগুলিতে একটি খারাপ অনুরোধ? অ্যাপাচি একক থ্রেডযুক্ত (-X পতাকা) শুরু করার চেষ্টা করুন এবং দেখুন যে এটি একই জিনিসটি করছে ... বা সম্ভবত সেটিংস হচ্ছে SSLSessionTickets off।

এখানে আমার চিন্তাভাবনা থ্রেডিং এবং সেশন / ক্যাশে সুসংহততা / ধারাবাহিকতাটিকে সমস্যার উত্স হিসাবে নির্মূল করা। অ্যাপাচি একক থ্রেডযুক্ত চালানো (এটি -X পতাকা দিয়ে শুরু করা) এটি সম্পাদন করার একটি উপায়, অন্য MaxClients=1উপায়টি সেট করা (কমপক্ষে এমপিএম মডেল সহ)। TLSv1.2 দিয়ে অতীতে সেশন টিকিটগুলি সমস্যার কারণ হয়ে দাঁড়িয়েছে এবং সেগুলি ডিফল্টরূপে সক্ষম করা হয়েছে, এর পিছনে যুক্তি রয়েছে SSLSessionTickets off(নোট এটি সেশন কুকি বা অনুরূপ নয়, এসএসএল "সার্ভার হ্যালো" বার্তার অংশ হিসাবে মনে করুন)। 'প্রতি পঞ্চম ক্লিক' ত্রুটিটি এখনও আমাকে বিরক্ত করে - আমি সাহায্য করতে পারছি না তবে লক্ষ্য করতে পারেন যে বেশিরভাগ ব্রাউজারগুলি একক মধ্যে চারটি রিসোর্স অনুরোধ পাইপলাইন করে ...) এবং একটি নতুন সংযোগ (একটি নতুন এসএসএল হ্যান্ডশেক, ইত্যাদি ...) খুলবে) পঞ্চম জন্য ... প্যাকেট ক্যাপচার ব্যতীত আসলে কী চলছে তা বলা শক্ত।

দেখে মনে হবে যে আপনি সাইফারের আলোচনাকে ত্রুটির উত্স হিসাবে মুছে ফেলেছেন (যদি ভুল না হয় তবে আপনি তত বেশি নিয়ন্ত্রিত সাইফার স্পেকের অধীনে ত্রুটির শর্তটি নকল করতে পারেন)। আমি জানতে আগ্রহী হই যে আপনি এসএসএলকে পুনর্নির্মাণের মাধ্যমে ত্রুটিটি ট্রিগার করতে পারেন (কেবল কিকের জন্য, বলুন): openssl s_client -connect server:443এবং তারপরে 'আর' টাইপ করুন, লগগুলি কী বলে তা দেখুন।
এছাড়াও দেখুন সেশন ক্যাচিং -reconnects_client বিকল্পের সাথে কাজ করছে কিনা। এসএসএল অনুরোধগুলির জন্য প্রাপ্ত প্রসঙ্গগুলি সম্পর্কে অবশ্যই
কিছু আলাদা হওয়া উচিত এবং এটি বের করার সর্বোত্তম উপায় বলে মনে হচ্ছে (তারের উপর দিয়ে কী চলছে তার বাইট-বাই-বাইট পরিদর্শনের সংক্ষিপ্ততা, যা সম্ভবত নাম প্রকাশ করা শক্ত নয়) যা শুনছে তার আকার সীমাবদ্ধ করুন (এটি শ্রোতার সংখ্যা)।

অন্যান্য ডিবাগিং সরঞ্জামগুলি আমি চেষ্টা করেছি (ধরে নিচ্ছি যে প্যাকেট ক্যাপচারগুলি পোস্ট করা প্রশ্নটির বাইরে রয়ে গেছে ....)
- ssltap ( libnss3-toolsউবুন্টুতে)
- সিফারস্ক্যান
- এসএসএলএস

Ssltap এর
মাধ্যমে এটিকে আপডেট করা ওপেনএসএসএল বাগ # 3712 রিসফেসেড (মূলত পঠন / লেখার সময় মূল পুনর্বিবেচনা) এর মতো এক ভয়ঙ্কর চেহারা দেখায় । একটি শালীন কাজের জন্য অনুসন্ধান যা পারফরম্যান্সকে হত্যা করবে না। মজার জিনিস!

আমি এটি আগে দেখেছি, বাস্তবে এটি আগে ছিল।

আমার ক্ষেত্রে উত্তরটি অত্যন্ত সূক্ষ্ম হয়ে শেষ হয়েছিল।

নেটওয়ার্ক অ্যাডাপ্টার টিসিপি সেগমেন্ট অফলোডিং সক্ষম করেছে, যা কিছু ফর্মের বাগের কারণে কিছু বার্তাগুলির শেষ কয়েক বাইট ছিল (যা ছাঁটাই করা যায় না, মনে রাখতে পারে) - যা পরে এসএসএল রেকর্ডগুলিতে ম্যাককে ব্যর্থ করে দেয়।

এটি ভিএমওয়্যারের একটি ভার্চুয়াল মেশিন ছিল।

আমি আপনার পরিবেশে টিএসও / জিএসও / জিআরও অক্ষম করার চেষ্টা করব এবং সমস্যাটি চলে গেছে কিনা তা দেখার চেষ্টা করব।

ethtool -K eth0 tso off gro off gso off ufo off

ওপেনএসএসএল এবং মাল্টিথ্রেডিংয়ের সাথে কিছুটা অদ্ভুততা রয়েছে। আপনি কোন এমপিএম ব্যবহার করেন? এটি যদি মাল্টিথ্রেডিং-সম্পর্কিত হয় তবে "কর্মী" এবং "ইভেন্ট" প্রভাবিত হতে পারে "প্রেফার্ক" নিরাপদ থাকা উচিত।

যদি আপনার লোড-প্রোফাইল এটির অনুমতি দেয় তবে সম্ভবত আপনি প্রিফের্কে স্যুইচ করার চেষ্টা করতে পারেন এবং সমস্যাটি এখনও থেকে যায় কিনা তা দেখতে পারেন।

প্রথমে নিশ্চিত করুন ক্রোম আপডেট হয়েছে। পুরানো সংস্করণগুলি নির্দিষ্ট সাইফারগুলির সাথে সমস্যা দেয়। ক্রোমিয়ামের সাথে আমি নিজেও অ্যামাজন ইত্যাদির সাধারণ সাইটগুলির সাথে এই সমস্যাটি পেয়েছিলাম

দ্বিতীয়ত, আপনি অনুসরণ করা "সাইফার তালিকায়" প্রোটোকল নিষিদ্ধ করার পরামর্শটি খুব খারাপ ধারণা, কারণ এটি প্রোটোকলকে নিষিদ্ধ করবে না, এটি বেশিরভাগ সিফারকে নিষিদ্ধ করবে যেগুলি "এসএসএলভি 3" থেকে কাজ করে (তবে এর অর্থ এই নয় যে আপনি এসএসএল 3 সক্ষম করছেন যদি আপনি SSLv3 সিফারগুলিকে মঞ্জুরি দিন), মজিলা এসএসএল কনফিগারেশন জেনারেটর দ্বারা সামঞ্জস্যের জন্য সরবরাহ করা আরও জেনেরিয়িক তালিকা ব্যবহার করুন (নোট করুন SSLv2 আর বিদ্যমান নয় বা এটি httpd বা ওপেনসেসলে সমর্থিত তাই এটির আর স্পষ্টভাবে নিষেধ করার কারণ নেই) এবং সম্ভবত আপনার পূর্ববর্তী সংমিশ্রণটি খুব কঠোর ছিল , আর একবার চেষ্টা কর:

SSLProtocol             all -SSLv3
SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

আপনার যদি এখনও সমস্যা থাকে তবে এসএসএলের জন্য ডিবাগিং সক্ষম করুন এবং HTDD এর কী বলতে হবে তা দেখুন (কেবলমাত্র 1 টি চেষ্টা বা দু'জন প্রেরণ করুন এবং এই লগিংটি অক্ষম করুন, এটি খুব গোলমাল):

LogLevel ssl:trace3

সিডিনোটস: আপনি আরও এগিয়ে যেতে পারেন এবং এসএসএল সার্টিফিকেট চেইনফিল সরান যেহেতু এই নির্দেশিকাটি ২.৪-এ অবনমিত করা হয়েছে। আপনি এসএসএল সার্টিফিটফাইলে চেইনটি যুক্ত করতে পারেন এবং পাতা থেকে রুট পর্যন্ত সমস্ত শংসাপত্রগুলি বাছাই করতে পারেন, বা এসএসএল সার্টিফিকেট চেইনফিলকে এসএসএলসিসিটিটিফাইলে পরিবর্তন করতে পারেন (যদিও এটি মূলত এসএসএল লেখার জন্য ব্যবহৃত হয়)।

যোগ করার জন্য আপনারও যোগ করা উচিত (যদি আপনার এখনও না থাকে):

SSLRandomSeed startup file:/dev/urandom 2048
SSLRandomSeed connect file:/dev/urandom 2048
SSLSessionCache shmcb:/path/to/log/ssl_gcache_data(512000)

সম্পাদনা করুন: আমাদের কথোপকথন অনুসরণ করে আসুন ওপেনএসএল ইনস্টলেশন এবং / অথবা এটি সত্যিই একই সংস্করণ যদি আপনার httpd ব্যবহার করে:

এই আদেশটি জারি করুন এবং আসুন এটি কী দেখুন: openssl ciphers -v 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'

এছাড়াও এটি নিশ্চিত করতে যে ওপেনসেল সংস্করণটি সঠিক এটির একটি:

openssl version