Очень хочется знать когда исправиться ошибка в Бате для работы с openssl.
А то пишит что не возможно соединиться с сервером. ???
Очень хочется знать когда исправиться ошибка в Бате для работы с openssl.
А то пишит что не возможно соединиться с сервером. ???
Если пишет, что невозможно соединиться с сервером, то это ошибка не Бата, а Ваша. Как любил выражаться Стас Полозов, "хромосомная аберрация" Проверьте в transport settings имя сервера и правильность установки порта.
Да с настройками всё нормально!
И порты проставлены правельно.
Оутглюк с теми же параметрами почту принимает.
Так что думаю проблемы всетаки бата. У меня 1.62i
Лог сервера в студию, в таком случае. Я хочу видеть, что он в самом деле общается с Батом. А то ошибка "невозможно соединиться с сервером" всего лишь означает, что Бат самого сервера найти не может. Поробуйте telnet your.server.name на тот порт, что указан Бату. Покажите мне отклик.
Во-первых хочу сразу сказать я использую openssl 0.9.7a сервак фирмы и шифрование необходимо для того чтоб директор мог читать свою почту из дома пользуясь услугами провайдера.
Во-вторых по telnet у коннектится всё нормально ответ ОК.
В-третьих по ssl не возможно получить почту только по РОР3 а по IMAP всё нормально, но IMAP подымать не хочу
И ещё проверил тоже самое на 7 бета версии 1.63 - получил всё тоже самое.
???
Так и не вижу ни лога, ничего… В таком режиме дальше продолжаться не может. IMAP и POP3 over SSL работают совершенно одинаково, только через разные порты. Соответственно, это просто "уму нерастяжимо" , чтобы одно из них работало, а другое -- нет. На какой порт сервера стучится Бат при попытке работать по POP3 over SSL?
Попробую продолжить.
Все сделано в точности так, как указано статье Вашего FAQ номер 49.
На сервере - QPopper 4.0.4 (POP3 server)+ OpenSSL 0.9.7a. Сертификат CA самоподписный на my.host. Именно его я внес в список сертификатов для записи адресной книги "Trusted Root CA" под именем my.host
Но, QPopper использует свой сертификат, подписанный тем же СА (my.host). Подозреваю, что собака зарыта именно в этом месте.
Лог The BAT!:
05.03.2003, 17:36:38: FETCH - receiving mail messages
05.03.2003, 17:36:38: FETCH - Initiating TLS handshake
05.03.2003, 17:36:38: FETCH - Certificate S/N: 01, algorithm: RSA (1024 bits), issued from 28 фев 2003 to 28 фев 2004, for 1 host(s): my.host.
05.03.2003, 17:36:38: FETCH - Owner: RU, Moscow, Moscow, MyHOST Computers, Ltd., IT Departement, my.host, admin@my.host.
05.03.2003, 17:36:38: FETCH - This certificate is self-issued.
05.03.2003, 17:36:38: FETCH - Invalid server certificate (Signature match failed).
05.03.2003, 17:36:38: FETCH - connection finished - 0 messages received
Лог сервера:
qpopper[481]: OpenSSL error during handshake
qpopper[481]: …SSL error: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate
qpopper[481]: TLS/SSL Handshake failed: -1
Про данную ошибку есть информация в FAQ по SSL. Но относиться она к старым браузерам и говорит о том, что клиент не может обработать серверный сертификат/приватный ключ, что, возможно, вызвано тем что ключ RSA не равен 1024 битам.
Ну вот, если бы Вы сразу, как я просил, эту информацию предоставили, я бы Вам сразу сказал, в чем проблема. Вы не находите, что _это_ не слишком похоже на то, что Вы называете ошибкой "невозможно соединиться с сервером"?
Так вот, чтобы побороть эту проблему, используйте вот этот workaround:
Но при этом я всё равно не понимаю, почему у Вас IMAP с Батом и с тем же сервером, как Вы говорите, работает (работает, в самом деле?). Что-то мне в это не слишком верится…I finally seem to have found a work around on server side.
The downside is: it requires recompiling on server side.
When using OpenSSL library one can set options for the SSL connection,
among others so called 'bug workaround' options.
The one that seem to affect connections positively if The Bat! tries
to establish a SSL layered connection is
SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
Короче, у нас тут всё это уже обсуждалось:
https://nobat.ru/yabbse/index.php?bo…did=51;start=0
(я перекинул этот тред в FAQ, теперь он тут:
https://nobat.ru/yabbse/index.php?bo…ay;threadid=51)
упс, сорри, только теперь заметил, что Вы -- не тот товариСЧ, с которым мы в начале треда "общались". Мои apologies
Если Вы имеете ввиду следующую строку в ssl/ssl.h (дистрибутива OpenSSL):
/* Disable SSL 3.0/TLS 1.0 CBC vulnerability workaround that was added
* in OpenSSL 0.9.6d. Usually (depending on the application protocol)
* the workaround is not needed. Unfortunately some broken SSL/TLS
* implementations cannot handle it at all, which is why we include
* it in SSL_OP_ALL. */
#define SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS 0x00000800L /* added in 0.9.6e */
то она как вроде уже включена по умолчанию в исходниках (а я собирал OpenSSL из исходников)
А как с другими реализациями SSL? (SSL+, например). Дефект ли это комбинации The BAT!+OpenSSL или такое наблюдается с другими SSL toolkit?
p.s. Спасибо за оперативную реакцию.
Не, там где-то должна быть соответствующая опция у ./configure, сколько я понимаю. По крайней мере, тот кусок, что Вы прислали, звучит скорее в том смысле, что по умолчанию это как раз _выключено_. Сорри, у меня покуда нет времени с этим развлекаться, но народ говорит, что этот workaround таки работает.
Проблема же где? В Бате проблема, в Бате… Будет ли работать с другими имплементациями -- не знаю, я не пробовал. В конце концов, всегда можно обернуть _Бат_ этим самым stunnel'ом, но, ясное дело, это не слишком здорово в качестве решения.
Вроде как этот баг забагтрачен уже довольно давно, есть надежда, что пофиксят со временем… Там вообще в SSL конь не валялся…
P.S. Да не за что, если бы мне сразу показали логи -- я бы сразу и среагировал. А тот клиент, что тут спрашивать пытался до Вас, то ли делал что-то до невозможности странное, то ли что…