Показано с 1 по 10 из 15

Тема: SSL и Bat когда

  1. #1
    lexanic
    lexanic вне форума
    Новичок
    Регистрация
    26.02.2003
    Сообщений
    6

    SSL и Bat когда

    Очень хочется знать когда исправиться ошибка в Бате для работы с openssl.
    А то пишит что не возможно соединиться с сервером. ???

  2. #2
    akiselev
    akiselev вне форума
    Участник
    Регистрация
    02.11.2002
    Сообщений
    796

    Re:SSL и Bat когда

    Если пишет, что невозможно соединиться с сервером, то это ошибка не Бата, а Ваша. Как любил выражаться Стас Полозов, "хромосомная аберрация" Проверьте в transport settings имя сервера и правильность установки порта.

  3. #3
    lexanic
    lexanic вне форума
    Новичок
    Регистрация
    26.02.2003
    Сообщений
    6

    Re:SSL и Bat когда

    Да с настройками всё нормально!
    И порты проставлены правельно.
    Оутглюк с теми же параметрами почту принимает.
    Так что думаю проблемы всетаки бата. У меня 1.62i

  4. #4
    akiselev
    akiselev вне форума
    Участник
    Регистрация
    02.11.2002
    Сообщений
    796

    Re:SSL и Bat когда

    Лог сервера в студию, в таком случае. Я хочу видеть, что он в самом деле общается с Батом. А то ошибка "невозможно соединиться с сервером" всего лишь означает, что Бат самого сервера найти не может. Поробуйте telnet your.server.name на тот порт, что указан Бату. Покажите мне отклик.

  5. #5
    lexanic
    lexanic вне форума
    Новичок
    Регистрация
    26.02.2003
    Сообщений
    6

    Re:SSL и Bat когда

    Во-первых хочу сразу сказать я использую openssl 0.9.7a сервак фирмы и шифрование необходимо для того чтоб директор мог читать свою почту из дома пользуясь услугами провайдера.
    Во-вторых по telnet у коннектится всё нормально ответ ОК.
    В-третьих по ssl не возможно получить почту только по РОР3 а по IMAP всё нормально, но IMAP подымать не хочу
    И ещё проверил тоже самое на 7 бета версии 1.63 - получил всё тоже самое.
    ???

  6. #6
    akiselev
    akiselev вне форума
    Участник
    Регистрация
    02.11.2002
    Сообщений
    796

    Re:SSL и Bat когда

    Так и не вижу ни лога, ничего… В таком режиме дальше продолжаться не может. IMAP и POP3 over SSL работают совершенно одинаково, только через разные порты. Соответственно, это просто "уму нерастяжимо" , чтобы одно из них работало, а другое -- нет. На какой порт сервера стучится Бат при попытке работать по POP3 over SSL?

  7. #7
    MHz
    Guest

    Re:SSL и Bat когда

    Попробую продолжить.

    Все сделано в точности так, как указано статье Вашего FAQ номер 49.
    На сервере - QPopper 4.0.4 (POP3 server)+ OpenSSL 0.9.7a. Сертификат CA самоподписный на my.host. Именно его я внес в список сертификатов для записи адресной книги "Trusted Root CA" под именем my.host

    Но, QPopper использует свой сертификат, подписанный тем же СА (my.host). Подозреваю, что собака зарыта именно в этом месте.

    Лог The BAT!:

    05.03.2003, 17:36:38: FETCH - receiving mail messages
    05.03.2003, 17:36:38: FETCH - Initiating TLS handshake
    05.03.2003, 17:36:38: FETCH - Certificate S/N: 01, algorithm: RSA (1024 bits), issued from 28 фев 2003 to 28 фев 2004, for 1 host(s): my.host.
    05.03.2003, 17:36:38: FETCH - Owner: RU, Moscow, Moscow, MyHOST Computers, Ltd., IT Departement, my.host, admin@my.host.
    05.03.2003, 17:36:38: FETCH - This certificate is self-issued.
    05.03.2003, 17:36:38: FETCH - Invalid server certificate (Signature match failed).
    05.03.2003, 17:36:38: FETCH - connection finished - 0 messages received

    Лог сервера:

    qpopper[481]: OpenSSL error during handshake
    qpopper[481]: …SSL error: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate
    qpopper[481]: TLS/SSL Handshake failed: -1

    Про данную ошибку есть информация в FAQ по SSL. Но относиться она к старым браузерам и говорит о том, что клиент не может обработать серверный сертификат/приватный ключ, что, возможно, вызвано тем что ключ RSA не равен 1024 битам.

  8. #8
    akiselev
    akiselev вне форума
    Участник
    Регистрация
    02.11.2002
    Сообщений
    796

    Re:SSL и Bat когда

    Ну вот, если бы Вы сразу, как я просил, эту информацию предоставили, я бы Вам сразу сказал, в чем проблема. Вы не находите, что _это_ не слишком похоже на то, что Вы называете ошибкой "невозможно соединиться с сервером"?

    Так вот, чтобы побороть эту проблему, используйте вот этот workaround:

    I finally seem to have found a work around on server side.
    The downside is: it requires recompiling on server side.

    When using OpenSSL library one can set options for the SSL connection,
    among others so called 'bug workaround' options.

    The one that seem to affect connections positively if The Bat! tries
    to establish a SSL layered connection is

    SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
    Но при этом я всё равно не понимаю, почему у Вас IMAP с Батом и с тем же сервером, как Вы говорите, работает (работает, в самом деле?). Что-то мне в это не слишком верится…

    Короче, у нас тут всё это уже обсуждалось:
    https://nobat.ru/yabbse/index.php?bo…did=51;start=0

    (я перекинул этот тред в FAQ, теперь он тут:
    https://nobat.ru/yabbse/index.php?bo…ay;threadid=51)

    упс, сорри, только теперь заметил, что Вы -- не тот товариСЧ, с которым мы в начале треда "общались". Мои apologies

  9. #9
    MHz
    Guest

    Re:SSL и Bat когда

    Если Вы имеете ввиду следующую строку в ssl/ssl.h (дистрибутива OpenSSL):

    /* Disable SSL 3.0/TLS 1.0 CBC vulnerability workaround that was added
    * in OpenSSL 0.9.6d. Usually (depending on the application protocol)
    * the workaround is not needed. Unfortunately some broken SSL/TLS
    * implementations cannot handle it at all, which is why we include
    * it in SSL_OP_ALL. */
    #define SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS 0x00000800L /* added in 0.9.6e */

    то она как вроде уже включена по умолчанию в исходниках (а я собирал OpenSSL из исходников)

    А как с другими реализациями SSL? (SSL+, например). Дефект ли это комбинации The BAT!+OpenSSL или такое наблюдается с другими SSL toolkit?

    p.s. Спасибо за оперативную реакцию.

  10. #10
    akiselev
    akiselev вне форума
    Участник
    Регистрация
    02.11.2002
    Сообщений
    796

    Re:SSL и Bat когда

    Не, там где-то должна быть соответствующая опция у ./configure, сколько я понимаю. По крайней мере, тот кусок, что Вы прислали, звучит скорее в том смысле, что по умолчанию это как раз _выключено_. Сорри, у меня покуда нет времени с этим развлекаться, но народ говорит, что этот workaround таки работает.

    Проблема же где? В Бате проблема, в Бате… Будет ли работать с другими имплементациями -- не знаю, я не пробовал. В конце концов, всегда можно обернуть _Бат_ этим самым stunnel'ом, но, ясное дело, это не слишком здорово в качестве решения.

    Вроде как этот баг забагтрачен уже довольно давно, есть надежда, что пофиксят со временем… Там вообще в SSL конь не валялся…

    P.S. Да не за что, если бы мне сразу показали логи -- я бы сразу и среагировал. А тот клиент, что тут спрашивать пытался до Вас, то ли делал что-то до невозможности странное, то ли что…

Похожие темы

  1. Когда будет релиз 3.0.9???
    от I-Salt в разделе The Bat!: вопросы и ответы
    Ответов: 3
    Последнее сообщение: 30.03.2005, 17:29
  2. Когда выйдет 0.5.6 ???
    от basillast в разделе Антиспам плагин BayesIt
    Ответов: 4
    Последнее сообщение: 08.06.2004, 09:24
  3. БАТ в лок сети - Часть - КОГДА?
    от Денис в разделе Архив первого форума
    Ответов: 1
    Последнее сообщение: 18.03.2002, 10:19