可悲的是，这与您发现的问题无关，完全取决于 OS X 默认附带的糟糕的 OpenSSL。 0.9.8y 版本在执行 SSL 握手方面存在一些实际问题，并且一些服务器不能很好地容忍它。 在我的 OS X 机器上使用 Python 3（因此使用更新的 OpenSSL）表明没有问题。

你有两个选择：

1. 从 Homebrew 安装 OpenSSL，然后从 Homebrew 安装新版本的 Python 2，它将自动链接到 Homebrew 提供的 OpenSSL。
2. 从 Homebrew 安装 OpenSSL，然后通过运行env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install PyOpenSSL来针对该新版本安装 PyOpenSSL。

啊，看起来我当时在追随一个红鲱鱼 - 无论如何我不打算在 OSX 上部署任何东西。 看起来我会把我的测试转移到一个 linux virtualbox 上。 为这个冗长的问题道歉！

无需道歉，问这个问题是正确的做法：知道 OS X 有这个问题是非常奇怪的具体知识。 =)

好吧，这是一个无赖。 我通过 Vagrant 创建了一个 Ubuntu 14.04 服务器 32 位 Virtualbox 映像，除了 SSLv2 情况外，这一切仍在发生，因为该协议未包含在 Ubuntu 14.04 的 OpenSSL 版本中（我相信按照设计，SSLv2 已经过时了）和过时）。

版本：
Ubuntu 14.04 32bit（通过 Vagrant/Virtualbox 组合）
Python 2.7.6
请求==2.2.1
请求工具带==0.2.0
urllib3==1.8.2

编辑：忘记了 OpenSSL 版本...

python -c "导入 ssl；打印 ssl.OPENSSL_VERSION"
OpenSSL 1.0.1f 2014 年 1 月 6 日

TLSv1：

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('TLSv1')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv2：

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv3')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv23：

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv23')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

也许这是一个密码列表问题？ 还是这里使用的 OpenSSL 版本还有问题？

如有必要，我绝对愿意花一些时间来帮助调试...只要你们给我一些指导。

虚拟机正在下载。 我无法在 ArchLinux 上重现它。
堆栈跟踪表明了这一点，但我想确定：您_不_使用 PyOpenSSL，而只使用 stdlib？

@t-8ch 感谢您查看此内容，我有点困惑。 OpenSSL 让我的生活变得非常艰难 =(

@t-8ch 如果您要问的话，我还没有安装 PyOpenSSL？

我会假设（可能是错误的） pip install requests应该为我提供在 HTTPS 页面上成功调用requests.get('...')所需的一切。 当然，它在大多数情况下都有效，只是出于某种原因不适用于该站点。

@jaddison它_大部分_确实如此。 不幸的是，Python 2.7s 标准库很烂，不支持一些特性，比如 SNI。

我想知道这是不是SNI...

@jaddison 幕后有两种不同的代码路径。 您不必关心这些，但了解调试时会有所帮助。

但是我现在可以在 ubuntu 上重现它。 但只有 o Py2。 在 Py3 上一切都很好。
我怀疑@Lukasa是对的，当客户端不使用 SNI 时服务器会失败。

令我困扰的是，根据所讨论的服务器，缺少 SNI 会以多种不同的方式失败。

我确实注意到 OpenSSL 1.0.1f 和 1.0.1g 之间的这种变化（https://www.openssl.org/news/openssl-1.0.1-notes.html）：

Add TLS padding extension workaround for broken servers.

编辑：啊，没关系 - 我认为这个错误不应该在 Py 2 和 3 之间变化。

@jaddison要测试这是否是 SNI，您需要安装 Python 2 的 SNI 要求。

@Lukasa是对的。 比较：

$ openssl s_client -connect docs.apitools.com:443                              
CONNECTED(00000003)
139846853338768:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:762:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 517 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

$  openssl s_client -connect docs.apitools.com:443 -servername docs.apitools.com
... happy handshake here

详细说明：第二个命令启用openssl s_client的 SNI 功能。

您可以 a) 切换到 python3 b) 安装额外的依赖项。
标准库目前无法进行 SNI。

感谢您的快速反馈。 鉴于没有错误，我将关闭此...再次。

嘿嘿，谢谢各位！！ 我在我的 Mac 上安装了 python3 并且繁荣，它工作。

只是想插话说我在 OS X 10.9.5、Python 2.7.7 和 OpenSSL 0.9.8zc 上遇到了这个问题。

我能够通过以下方式解决我的握手问题：

1. 通过brew install OpenSSL在我的机器上安装更新的 OpenSSL
2. 编译和安装链接到新 OpenSSL ( env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install cryptography ) 的cryptography包
3. 通过pip install requests[security]安装带有 SNI 支持的请求

谢谢，@Microserf。 我几乎在运行相同的规范（10.9.5，Python 2.7.6 通过 Homebrew 安装，但使用系统提供的 OpenSSL 0.9.8zg 编译），这是我为 Django 启动和运行requests的整个过程：

brew install openssl

安装requests和一堆SNI 东西，根据我们新安装的 OpenSSL 编译。 [security]选项只是安装pyopenssl ndg-httpsclient pyasn1

env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install requests[security] urllib3

我们很高兴：

"""
This may or may not be needed. See:
https://urllib3.readthedocs.org/en/latest/security.html#openssl-pyopenssl
"""
# from urllib3.contrib import pyopenssl
# pyopenssl.inject_into_urllib3()

import requests
# r = requests.get(...)

是否有关于如何在 ubuntu 上运行的明确答案？ 我遇到了这个问题，看起来这里唯一的答案是关于如何让它在 Mac 上运行。 将我们的整个代码库升级到 python 3 不是一种选择。

好的，我可能刚刚回答了我自己的问题。 我所做的归结为：

sudo apt-get install libffi-dev
pip install pyOpenSSL ndg-httpsclient pyasn1

@lsemel谢谢，这为我节省了很多时间

@lsemel你确定吗？ 我在 Ubuntu 15.10 上尝试过，但它仍然不适用于 Python 2.7.10。

它适用于 Travis CI 上的 Python 2.7：
https://travis-ci.org/playing-se/swish-python

现在可以开始工作了！ 我只是卸载了 pyOpenSSL：
pip uninstall pyOpenSSL

如果 Python 版本低于 2.7.9，也许我们应该只使用 pyopenssl.inject_into_urllib3() ？ 如果 Python 版本是 2.7.10，pyOpenSSL 似乎会破坏 Ubuntu 和 Windows 上的东西。

PyOpenSSL 不应该破坏任何东西。 如果是这样，那是一个应该报告的错误。

我将不得不对此进行调查，但是如果 Python 版本是 2.7.9 或更高版本，是否有充分的理由将 pyopenssl 注入 urllib3？

我在想这样的事情：

# Check if Modern SSL with SNI support
try:
    from ssl import SSLContext
    from ssl import HAS_SNI
except ImportError:
    # Attempt to enable urllib3's SNI support, if possible
    try:
        from .packages.urllib3.contrib import pyopenssl
        pyopenssl.inject_into_urllib3()
    except ImportError:
        pass

是的，经常有。 例如，在 OS X 上，大多数 Python 链接到系统 OpenSSL，它是 0.9.8zg 版本。 然而，PyOpenSSL 将链接到更新的 OpenSSL (1.0.2)。 这使得使用 PyOpenSSL 成为一项重大的安全改进。

此外，PyOpenSSL 使我们能够更好地访问 OpenSSL，从而使我们能够更有效地保护它。

好的，我现在已经玩过这个了。

它适用于 pyopenssl 但如果安装了 ndg-httpsclient 则不适用。

但是，如果我卸载 pyasn1 给我这些警告，我可以让它与 ndg-httpsclient 一起工作：

/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/ssl_peer_verification.py:25: UserWarning: SubjectAltName support is disabled - check pyasn1 package installation to enable
  warnings.warn(SUBJ_ALT_NAME_SUPPORT_MSG)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)

在安装了 Python 2.7.10 的 Ubuntu 15.10 和 Windows 10 上的行为相同。

那是因为没有 ndg-httpsclient 就不会使用 PyOpenSSL 支持。

是的，如果 SubjectAltName 被禁用，我将不得不深入研究它为什么会起作用。 任何的想法？

几乎可以肯定，问题在于您在每种情况下都使用不同的 OpenSSL。

我在我的 Ubuntu 14.04 机器和 Python 2.7.11 上遇到了同样的问题

来自 SNI

对我有用的是：

• 卸载请求
• 卸载 urllib3
• 安装各种加密依赖项
• 安装 urllib3
• install urllib3[secure] # 只是为了安全
• 安装请求

我认为对 urllib3 或请求进行了安装时检查，这会使事情在没有卸载的情况下无法工作

@jvanasco你用什么来安装这些包？ 我假设点子。 为什么要分别安装 urllib3 和 requests？

好吧，我需要 virtualenv 中的 urllib3 ......但我安装它是为了尝试通过 pip 和 easy_install 安装要求。 （我两个都用过）

我有一个网络索引器，一些网址坏了。 我编写了一个快速脚本来尝试损坏的脚本，并继续重新安装/删除+安装 urllib3 中有关 ssl 问题的说明中的软件包，直到它们起作用为止。

2016 年 5 月 31 日晚上 7:25，Ian Cordasco [email protected]写道：

@jvanasco你用什么来安装这些包？ 我假设点子。 为什么要分别安装 urllib3 和 requests？

—
你收到这个是因为你被提到了。
直接回复此邮件，在 GitHub 上查看，或将话题静音。

我仍然看到这个问题，我已经尝试了建议的解决方法。
我将我的 python 版本更新为 2.7.11
我安装了 3 个附加软件包。

我尝试了@jvanasco建议的卸载/安装顺序，但仍然出现 SSLError
同样使用 Ubuntu 14.04 不幸的是没有 OpenSSL 更新，所以我必须使用这里发布的解决方法，我没有运气。

你们可能采取了哪些额外的步骤？

谢谢

@Lekinho我发现制作一个简短的测试脚本来测试我遇到问题的域有帮助。

这只是：

 import requests
 r = requests.get(bad_url)
 print r.__dict__

@Lekinho您可以从代码中的请求中提取 pyopenssl：

try:
    from requests.packages.urllib3.contrib import pyopenssl
    pyopenssl.extract_from_urllib3()
except ImportError:
    pass

@Lekinho如果您仍然遇到 Python 2.7.11 的这个问题，那么远程服务器很可能不支持请求使用的 TLS 设置。 有问题的服务器在公共互联网上可用吗？ 如果是这样，你能给我提供网址吗？

我已经按照建议尝试了 pyopenssl 导入。
不幸的是，这不能公开访问。
但是，我有服务器具有的 openSSL 版本的确切详细信息。
基本上，我们在 redhat 虚拟机上运行，​​当一切正常时我有这个 openSSL：openssl-1.0.1e-42.el6_7.4.x86_64

然后我们做了一个redhat升级，openssl有一个更新：openssl-1.0.1e-48.el6_8.1.x86_64

在 ubuntu 14.04 上使用 openssl 时，此版本总是存在握手问题。

你们有任何我可以尝试的公共 URL，看看变通方法是否有助于解决问题，而我拥有的这种独特的组合就是问题所在？

当通过浏览器发送 REST 请求时，同一台机器很好（即没有 ubuntu openssl ）

谢谢

你能提供rpm -q --changelog openssl的输出吗？

[ admin@leke-2-2-8-11 ~]$ rpm -q --changelog openssl

• 2016 年 5 月 2 日星期一 Tomáš Mráz [email protected] 1.0.1e-48.1
• 修复 CVE-2016-2105 - base64 编码可能溢出
• 修复 CVE-2016-2106 - EVP_EncryptUpdate() 中可能的溢出
• 修复 CVE-2016-2107 - 在缝合的 AES-NI CBC-MAC 中填充 oracle
• 修复 CVE-2016-2108 - ASN.1 编码器中的内存损坏
• 修复 CVE-2016-2109 - 从 BIO 读取 ASN.1 数据时可能出现 DoS
• 修复 CVE-2016-0799 - BIO_printf 中的内存问题
• 2016 年 2 月 24 日星期三 Tomáš Mráz [email protected] 1.0.1e-48
• 修复 CVE-2016-0702 - 对模幂的侧信道攻击
• 修复 CVE-2016-0705 - DSA 私钥解析中的双重释放
• 修复 CVE-2016-0797 - BN_hex2bn 和 BN_dec2bn 中的堆损坏
• 2016 年 2 月 16 日星期二 Tomáš Mráz [email protected] 1.0.1e-47
• 修复 CVE-2015-3197 - SSLv2 密码套件实施
• 在通用 TLS 方法中禁用 SSLv2
• 2016 年 1 月 15 日星期五 Tomáš Mráz [email protected] 1.0.1e-46
• 修复 pkcs12 解析中的 1 字节内存泄漏 (#1229871)
• 记录 speed 命令的一些选项 (#1197095)
• 2016 年 1 月 14 日星期四 Tomáš Mráz [email protected] 1.0.1e-45
• 修复时间戳权威中的高精度时间戳
• 2015 年 12 月 21 日星期一 Tomáš Mráz [email protected] 1.0.1e-44
• 修复 CVE-2015-7575 - 不允许在 TLS1.2 中使用 MD5
• 2015 年 12 月 4 日星期五 Tomáš Mráz [email protected] 1.0.1e-43
• 修复 CVE-2015-3194 - 缺少 PSS 参数的证书验证崩溃
• 修复 CVE-2015-3195 - X509_ATTRIBUTE 内存泄漏
• 修复 CVE-2015-3196 - 处理 PSK 身份提示时的竞争条件
• 2015 年 6 月 23 日星期二 Tomáš Mráz [email protected] 1.0.1e-42
• 修复 CVE-2015-1791 修复错误导致的回归
• 2015 年 6 月 11 日星期四 Tomáš Mráz [email protected] 1.0.1e-41
• 改进了 CVE-2015-1791 的修复程序
• 为正确性添加 CVE-2015-0209 修复的缺失部分，尽管无法利用
• 2015 年 6 月 9 日星期二 Tomáš Mráz [email protected] 1.0.1e-40
• 修复 CVE-2014-8176 - DTLS 缓冲代码中的无效空闲
• 修复 CVE-2015-1789 - X509_cmp_time 读取越界
• 修复 CVE-2015-1790 - PKCS7 崩溃，缺少 EncryptedContent
• 修复 CVE-2015-1791 - 竞争条件处理 NewSessionTicket
• 修复 CVE-2015-1792 - CMS 验证具有未知哈希函数的无限循环
• 2015 年 6 月 2 日星期二 Tomáš Mráz [email protected] 1.0.1e-39
• 修复 CVE-2015-3216 - RAND 锁定中的回归，可能导致段错误
  在多线程应用程序中读取
• 2015 年 5 月 25 日星期一 Tomáš Mráz [email protected] 1.0.1e-38
• 修复 CVE-2015-4000 - 防止对客户端的 logjam 攻击 - 限制
  DH 密钥大小至少为 768 位（将来会增加限制）
• 2015 年 3 月 25 日星期三 Tomáš Mráz [email protected] 1.0.1e-37
• 放弃 2^32 操作的 AES-GCM 限制，因为 IV 是
  总是 96 位（32 位固定字段 + 64 位调用字段）
• 2015 年 3 月 19 日星期四 Tomáš Mráz [email protected] 1.0.1e-36
• 将 CVE-2015-0287 的修复更新为上游发布的内容
• 2015 年 3 月 18 日星期三 Tomáš Mráz [email protected] 1.0.1e-35
• 修复 CVE-2015-0209 - 在 d2i_ECPrivateKey() 中释放后的潜在用途
• 修复 CVE-2015-0286 - ASN.1 布尔比较处理不当
• 修复 CVE-2015-0287 - ASN.1 结构重用解码内存损坏
• 修复 CVE-2015-0288 - X509_to_X509_REQ NULL 指针取消引用
• 修复 CVE-2015-0289 - NULL 解引用解码无效 PKCS#7 数据
• 修复 CVE-2015-0292 - base64 解码器中的整数下溢
• 修复 CVE-2015-0293 - SSLv2 服务器中的可触发断言
• 2015 年 3 月 3 日星期二 Tomáš Mráz [email protected] 1.0.1e-34
• 处理 SNI 上下文切换时复制摘要算法
• 改进密码套件的文档 - Hubert Kario 的补丁
• 添加对设置 Kerberos 服务和 keytab 的支持
  s_server 和 s_client
• 2015 年 1 月 13 日星期二 Tomáš Mráz [email protected] 1.0.1e-33
• 修复 CVE-2014-3570 - BN_sqr() 中的错误计算
• 修复 CVE-2014-3571 - dtls1_get_record() 中可能发生的崩溃
• 修复 CVE-2014-3572 - ECDH 密码套件可能降级到非 PFS 状态
• 修复 CVE-2014-8275 - 各种证书指纹问题
• 修复 CVE-2015-0204 - 删除对非导出的 RSA 临时密钥的支持
  密码套件和服务器上
• 修复 CVE-2015-0205 - 不允许未经身份验证的客户端 DH 证书
• 修复 CVE-2015-0206 - 缓冲 DTLS 记录时可能存在内存泄漏
• 2014 年 10 月 16 日星期四 Tomáš Mráz [email protected] 1.0.1e-32
• 使用 FIPS 批准的方法计算 RSA 中的 d
• 2014 年 10 月 15 日星期三 Tomáš Mráz [email protected] 1.0.1e-31
• 修复 CVE-2014-3567 - 处理会话票证时的内存泄漏
• 修复 CVE-2014-3513 - srtp 支持中的内存泄漏
• 添加对回退 SCSV 的支持以部分缓解 CVE-2014-3566
  （对 SSL3 的填充攻击）
• 2014 年 8 月 15 日星期五 Tomáš Mráz [email protected] 1.0.1e-30
• 将 ECC TLS 扩展添加到 DTLS (#1119800)
• 2014 年 8 月 8 日星期五 Tomáš Mráz [email protected] 1.0.1e-29
• 修复 CVE-2014-3505 - DTLS 数据包处理中的 doublefree
• 修复 CVE-2014-3506 - 避免 DTLS 中的内存耗尽
• 修复 CVE-2014-3507 - 避免 DTLS 中的内存泄漏
• 修复 CVE-2014-3508 - 修复 OID 处理以避免信息泄漏
• 修复 CVE-2014-3509 - 修复解析服务器 hello 时的竞争条件
• 修复 CVE-2014-3510 - 修复 DTLS 中匿名 (EC)DH 处理中的 DoS
• 修复 CVE-2014-3511 - 禁止通过碎片降级协议
• 2014 年 6 月 16 日星期一 Tomáš Mráz [email protected] 1.0.1e-28
• 修复了破坏 EAP-FAST 会话恢复支持的 CVE-2014-0224 修复
• 2014 年 6 月 6 日星期五 Tomáš Mráz [email protected] 1.0.1e-26
• 从默认密码列表中删除 EXPORT、RC2 和 DES (#1057520)
• 打印 TLS 握手中协商的临时密钥大小 (#1057715)
• 不要在 SSLv2 客户端问候中包含 ECC 密码套件 (#1090952)
• 正确检测 BIO 中的加密失败 (#1100819)
• 如果 .hmac 文件为空，则 hmac 完整性检查失败 (#1105567)
• FIPS 模式：对 DSA、DH 和 RSA 密钥生成进行限制
  仅在 OPENSSL_ENFORCE_MODULUS_BITS 环境下强制执行长度
  变量已设置
• 2014 年 6 月 2 日星期一 Tomáš Mráz [email protected] 1.0.1e-25
• 修复 CVE-2010-5298 - 释放后可能使用内存
• 修复 CVE-2014-0195 - 通过无效 DTLS 片段导致缓冲区溢出
• 修复 CVE-2014-0198 - 可能的 NULL 指针取消引用
• 修复 CVE-2014-0221 - 来自无效 DTLS 握手数据包的 DoS
• 修复 CVE-2014-0224 - SSL/TLS MITM 漏洞
• 修复 CVE-2014-3470 - 使用匿名 ECDH 时的客户端 DoS
• 2014 年 5 月 22 日星期四 Tomáš Mráz [email protected] 1.0.1e-24
• 添加对 secp521r1 EC 曲线的支持
• 2014 年 4 月 7 日星期一 Tomáš Mráz [email protected] 1.0.1e-23
• 修复 CVE-2014-0160 - TLS 心跳扩展中的信息泄露
• 2014 年 3 月 17 日星期一 Tomáš Mráz [email protected] 1.0.1e-22
• 在 FIPS 自测中使用 2048 位 RSA 密钥
• 2014 年 2 月 19 日星期三 Tomáš Mráz [email protected] 1.0.1e-21
• 添加 FIPS CAVS 测试所需的 DH_compute_key_padded
• 使 3des 强度为 128 位而不是 168 (#1056616)
• FIPS 模式：不生成 DSA 密钥和 DH 参数 < 2048 位
• FIPS 模式：使用批准的 RSA 密钥生成器（仅允许 2048 和 3072 位密钥）
• FIPS 模式：添加 DH 自检
• FIPS 模式：在 RAND_add() 上正确重新播种 DRBG
• FIPS 模式：添加 RSA 加密/解密自检
• FIPS 模式：为使用相同密钥的 2^32 GCM 块加密添加硬限制
• 如果调用 req -newkey rsa，则使用配置文件中的密钥长度
• 2014 年 1 月 7 日星期二 Tomáš Mráz [email protected] 1.0.1e-20
• 修复 CVE-2013-4353 - 无效的 TLS 握手崩溃
• 2014 年 1 月 6 日星期一 Tomáš Mráz [email protected] 1.0.1e-19
• 修复 CVE-2013-6450 - 可能对 DTLS1 进行 MiTM 攻击
• 2013 年 12 月 20 日星期五 Tomáš Mráz [email protected] 1.0.1e-18
• 修复 CVE-2013-6449 - SSL 结构中的版本不正确时崩溃
• 2013 年 12 月 12 日星期四 Tomáš Mráz [email protected] 1.0.1e-17
• 添加一些无意中删除的无操作符号
• 2013 年 10 月 31 日星期四 Tomáš Mráz [email protected] 1.0.1e-16
• 不宣传我们不支持的 ECC 曲线
• 修复 Cyrix CPU 上的 CPU 识别
• 2013 年 9 月 27 日星期五 Tomáš Mráz [email protected] 1.0.1e-15
• 使 DTLS1 在 FIPS 模式下工作
• 在 FIPS 模式下避免 RSA 和 DSA 512 位和 Whirlpool 在“openssl 速度”中
• 2013 年 9 月 26 日星期四 Tomáš Mráz [email protected] 1.0.1e-14
• dracut-fips 的安装标志着 FIPS 模块已安装
• 2013 年 9 月 23 日星期一 Tomáš Mráz [email protected] 1.0.1e-13
• 避免从 libcrypto 删除 libssl.so
• 2013 年 9 月 20 日星期五 Tomáš Mráz [email protected] 1.0.1e-12
• 修复 FIPS aes 自检中的小内存泄漏
• 在 FIPS 模式下修复 openssl speed hmac 中的段错误
• 2013 年 9 月 12 日星期四 Tomáš Mráz [email protected] 1.0.1e-11
• 在手册页中记录 nextprotoneg 选项
  Hubert Kario 的原始补丁
• 2013 年 8 月 29 日星期四 Tomas Mraz [email protected] 1.0.1e-9
• 始终在库构造函数中执行 FIPS 自测
  如果安装了 FIPS 模块
• 2013 年 8 月 16 日星期五 Tomas Mraz [email protected] 1.0.1e-8
• 如果可用，修复 rdrand 的使用
• 从上游挑选的更多提交樱桃
• 文档修复
• 2013 年 7 月 26 日星期五 Tomas Mraz [email protected] 1.0.1e-7
• 额外的手册页修复
• 对文本版本也使用符号版本控制
• 2013 年 7 月 25 日星期四 Tomas Mraz [email protected] 1.0.1e-6
• 额外的手册页修复
• ECDH ECDSA 的清理速度命令输出
• 2013 年 7 月 19 日星期五 Tomas Mraz [email protected] 1.0.1e-5
• 使用 _prefix 宏
• 2013 年 7 月 10 日星期三 Tomas Mraz [email protected] 1.0.1e-4
• 添加 relro 链接标志
• 2013 年 7 月 10 日星期三 Tomas Mraz [email protected] 1.0.1e-2
• 添加对证书链验证的 -trusted_first 选项的支持
• 2013 年 5 月 31 日星期五 Tomas Mraz [email protected] 1.0.1e-1
• rebase 到 1.0.1e 上游版本
• 2013 年 2 月 25 日星期一 Tomas Mraz [email protected] 1.0.0-28
• 修复 CVE-2013-0169 - SSL/TLS CBC 定时攻击 (#907589)
• 修复 CVE-2013-0166 - OCSP 签名检查中的 DoS (#908052)
• 仅在明确要求或 OPENSSL_DEFAULT_ZLIB 时启用压缩
  设置环境变量（修复 CVE-2012-4929 #857051）
• 到处使用 __secure_getenv() 而不是 getenv() (#839735)
• 2012 年 10 月 12 日星期五 Tomas Mraz [email protected] 1.0.0-27
• 修复 openssl(1) 手册页中的 sslrand(1) 和 sslpasswd(1) 引用 (#841645)
• 在 pkgconfig .pc 文件中删除多余的 lib64 修复 (#770872)
• 强制 BIO_accept_new(*:) 监听 IPv4
• 2012 年 8 月 15 日星期三 Tomas Mraz [email protected] 1.0.0-26
• 在 FIPS 模式下编写私钥时使用 PKCS#8 作为旧的
  PEM 加密模式不兼容 FIPS (#812348)
• 2012 年 5 月 15 日星期二 Tomas Mraz [email protected] 1.0.0-25
• 修复 CVE-2012-2333 - 在 DTLS 中不正确地检查记录长度 (#820686)
• 在 CVE-2012-0884 修复中正确初始化 tkeylen
• 2012 年 4 月 19 日星期四 Tomas Mraz [email protected] 1.0.0-24
• 修复 CVE-2012-2110 - asn1_d2i_read_bio() 中的内存损坏 (#814185)
• 2012 年 3 月 19 日星期一 Tomas Mraz [email protected] 1.0.0-23
• 修复 SGC 重启补丁可能终止握手的问题
  错误地
• 修复 CVE-2012-0884 - CMS 和 PKCS#7 代码中的 MMA 弱点 (#802725)
• 修复 CVE-2012-1165 - 错误 MIME 标头上的 NULL 读取取消引用 (#802489)
• 2012 年 3 月 1 日星期四 Tomas Mraz [email protected] 1.0.0-22
• 修复 CFB、OFB 和 CTR 模式下未对齐块的错误加密
• 2012 年 1 月 19 日星期四 Tomas Mraz [email protected] 1.0.0-21
• 修复 CVE-2011-4108 和 CVE-2012-0050 - DTLS 明文恢复
  漏洞和其他 DTLS 修复 (#771770)
• 修复 CVE-2011-4576 - 未初始化的 SSL 3.0 填充 (#771775)
• 修复 CVE-2011-4577 - 可能通过格式错误的 RFC 3779 数据进行 DoS (#771778)
• 修复 CVE-2011-4619 - SGC 重启 DoS 攻击 (#771780)
• 2011 年 10 月 31 日星期一 Tomas Mraz [email protected] 1.0.0-20
• 修复 x86cpuid.pl - Paolo Bonzini 的补丁
• 2011 年 9 月 29 日星期四 Tomas Mraz [email protected] 1.0.0-19
• 为 SHA2 算法添加已知答案测试
• 2011 年 9 月 21 日星期三 Tomas Mraz [email protected] 1.0.0-18
• 修复 CHIL 引擎中缺少的变量初始化 (#740188)
• 2011 年 9 月 12 日星期一 Tomas Mraz [email protected] 1.0.0-17
• 为 CRL 查找正确初始化 X509_STORE_CTX - CVE-2011-3207
  (#736087)
• 2011 年 8 月 24 日星期三 Tomas Mraz [email protected] 1.0.0-16
• 从 intelx 合并 AES-NI、SHA1 和 RC4 的优化
  引擎到内部实现
• 2011 年 8 月 15 日星期一 Tomas Mraz [email protected] 1.0.0-15
• 更好地记录应用程序中的可用摘要 (#693858)
• 向后移植的 CHIL 引擎修复 (#693863)
• 允许在没有下游补丁的情况下测试构建 (#708511)
• 链接时启用部分 RELRO (#723994)
• 在新的 Intel CPU 上添加具有改进性能的 intelx 引擎
• 添加禁用的 OPENSSL_DISABLE_AES_NI 环境变量
  AES-NI 支持（不影响 intelx 引擎）
• 2011 年 6 月 8 日星期三 Tomas Mraz [email protected] 1.0.0-14
• 在 FIPS 模式下使用 AES-NI 引擎
• 2011 年 5 月 24 日星期二 Tomas Mraz [email protected] 1.0.0-11
• 添加新的 DSA 参数生成的 CAVS 测试所需的 API
• 2011 年 2 月 10 日星期四 Tomas Mraz [email protected] 1.0.0-10
• 修复 OCSP 装订漏洞 - CVE-2011-0014 (#676063)
• 更正 README.FIPS 文档
• 2011 年 2 月 4 日星期五 Tomas Mraz [email protected] 1.0.0-8
• 在 openssl genrsa 命令中添加 -x931 参数以使用 ANSI X9.31
  密钥生成方法
• 使用 FIPS-186-3 方法生成 DSA 参数
• 添加 OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW 环境变量
  允许在系统处于维护状态时使用 MD5
  即使 /proc fips 标志打开
• 使 openssl pkcs12 命令在 FIPS 模式下默认工作
• 2011 年 1 月 24 日星期一 Tomas Mraz [email protected] 1.0.0-7
• 监听 s_server 中的 ipv6 通配符，因此我们接受连接
  来自 ipv4 和 ipv6 (#601612)
• 修复 openssl speed 命令，使其可以在 FIPS 模式下使用
  使用 FIPS 允许的密码 (#619762)
• 2010 年 12 月 7 日星期二 Tomas Mraz [email protected] 1.0.0-6
• 禁用 SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG 的代码 - CVE-2010-3864
  (#649304)
• 2010 年 11 月 5 日星期五 Tomas Mraz [email protected] 1.0.0-5
• 修复扩展解析代码中的竞争 - CVE-2010-3864 (#649304)
• 2010 年 6 月 30 日星期三 Tomas Mraz [email protected] 1.0.0-4
• openssl 手册页修复 (#609484)
• 2010 年 6 月 4 日星期五 Tomas Mraz [email protected] 1.0.0-3
• 修复 OriginatorInfo 的错误 ASN.1 定义 - CVE-2010-0742 (#598738)
• 修复 rsa_verify_recover 中的信息泄漏 - CVE-2010-1633 (#598732)
• 2010 年 5 月 19 日星期三 Tomas Mraz [email protected] 1.0.0-2
• 使 CA 目录可读 - 私钥在私有子目录中 (#584810)
• 来自上游 CVS 的一些修复
• 使 X509_NAME_hash_old 在 FIPS 模式下工作 (#568395)
• 2010 年 3 月 30 日星期二 Tomas Mraz [email protected] 1.0.0-1
• 更新到最终的 1.0.0 上游版本
• 2010 年 2 月 16 日星期二 Tomas Mraz [email protected] 1.0.0-0.22.beta5
• 使 TLS 在 FIPS 模式下工作
• 2010 年 2 月 12 日星期五 Tomas Mraz [email protected] 1.0.0-0.21.beta5
• 在汇编器实现中优雅地处理零长度
  OPENSSL_cleanse (#564029)
• 如果客户端主机名不可解析，不要在 s_server 中失败 (#561260)
• 2010 年 1 月 20 日星期三 Tomas Mraz [email protected] 1.0.0-0.20.beta5
• 新的上游版本
• 2010 年 1 月 14 日星期四 Tomas Mraz [email protected] 1.0.0-0.19.beta4
• 修复 CVE-2009-4355 - 应用程序泄漏错误调用
  应用程序退出前的 CRYPTO_free_all_ex_data() (#546707)
• 针对未来 TLS 协议版本处理的上游修复
• 2010 年 1 月 13 日星期三 Tomas Mraz [email protected] 1.0.0-0.18.beta4
• 添加对英特尔 AES-NI 的支持
• 2010 年 1 月 7 日星期四 Tomas Mraz [email protected] 1.0.0-0.17.beta4
• 上游修复会话恢复时的压缩处理
• 来自上游的各种空检查和其他小修复
• 根据最新草案对重新协商信息进行上游更改
• 2009 年 11 月 23 日星期一 Tomas Mraz [email protected] 1.0.0-0.16.beta4
• 修复 non-fips mingw build（Kalev Lember 的补丁）
• 为 DTLS 添加 IPV6 修复
• 2009 年 11 月 20 日星期五 Tomas Mraz [email protected] 1.0.0-0.15.beta4
• 为不安全的重新协商添加更好的错误报告
• 2009 年 11 月 20 日星期五 Tomas Mraz [email protected] 1.0.0-0.14.beta4
• 修复 s390x 上的构建
• 2009 年 11 月 18 日星期三 Tomas Mraz [email protected] 1.0.0-0.13.beta4
• 在客户端禁用重新协商扩展的实施 (#537962)
• 从当前上游快照添加修复
• 2009 年 11 月 13 日星期五 Tomas Mraz [email protected] 1.0.0-0.12.beta4
• 将版本号中的 beta 状态保持为 3，这样我们就不必重新构建
  openssh 以及其他可能具有过于严格的版本检查的依赖项
• 2009 年 11 月 12 日星期四 Tomas Mraz [email protected] 1.0.0-0.11.beta4
• 更新到新的上游版本，不需要 soname bump
• 修复 CVE-2009-3555 - 请注意，如果使用 SSL_OP_ALL，则会绕过修复
  所以与未固定客户端的兼容性不会被破坏。 这
  协议扩展也不是最终的。
• 2009 年 10 月 16 日星期五 Tomas Mraz [email protected] 1.0.0-0.10.beta3
• 如果之前调用 SSL_CTX_free()，则修复释放内存的使用
  SSL_free() (#521342)
• 2009 年 10 月 8 日星期四 Tomas Mraz [email protected] 1.0.0-0.9.beta3
• 修复 DTLS1 代码中的拼写错误 (#527015)
• 修复 d2i_SSL_SESSION() 错误处理中的泄漏
• 2009 年 9 月 30 日星期三 Tomas Mraz [email protected] 1.0.0-0.8.beta3
• 修复 RSA 和 DSA FIPS 自测
• 重新启用固定的 x86_64 山茶花汇编代码 (#521127)
• 2009 年 9 月 4 日星期五 Tomas Mraz [email protected] 1.0.0-0.7.beta3
• 暂时禁用 x86_64 山茶花汇编代码 (#521127)
• 2009 年 8 月 31 日星期一 Tomas Mraz [email protected] 1.0.0-0.6.beta3
• 修复 openssl dgst -dss1 (#520152)
• 2009 年 8 月 26 日星期三 Tomas Mraz [email protected] 1.0.0-0.5.beta3
• 删除兼容的符号链接黑客
• 2009 年 8 月 22 日星期六 Tomas Mraz [email protected] 1.0.0-0.4.beta3
• 构造 SSL_CIPHER_description()
• 2009 年 8 月 21 日星期五 Tomas Mraz [email protected] 1.0.0-0.3.beta3
• 修复WWW:Curl : tsget 中的简单引用
• 2009 年 8 月 21 日星期五 Tomas Mraz [email protected] 1.0.0-0.2.beta3
• 启用 MD-2
• 2009 年 8 月 20 日星期四 Tomas Mraz [email protected] 1.0.0-0.1.beta3
• 更新到新的主要上游版本
• 2009 年 7 月 25 日星期六 Fedora 发布工程[email protected] - 0.9.8k-7
• 为https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild重建
• 2009 年 7 月 22 日星期三 Bill Nottingham [email protected]
• 不要为 i686 构建特殊的“优化”版本，因为这是基础
  现在在 Fedora 中拱门
• 2009 年 6 月 30 日星期二 Tomas Mraz [email protected] 0.9.8k-6
• 如果自检失败并且轮询随机数生成器，则中止
• 在手册页中提到 EVP_aes 和 EVP_sha2xx 例程
• 添加 README.FIPS
• 制作 CA dir 绝对路径 (#445344)
• 将 RSA 密钥生成的默认长度更改为 2048 (#484101)
• 2009 年 5 月 21 日星期四 Tomas Mraz [email protected] 0.9.8k-5
• 修复 CVE-2009-1377 CVE-2009-1378 CVE-2009-1379
  （DTLS DoS 问题）（#501253、#501254、#501572）
• 2009 年 4 月 21 日星期二 Tomas Mraz [email protected] 0.9.8k-4
• 支持 CISCO AnyConnect 的兼容性 DTLS 模式 (#464629)
• 2009 年 4 月 17 日星期五 Tomas Mraz [email protected] 0.9.8k-3
• 更正 SHLIB_VERSION 定义
• 2009 年 4 月 15 日星期三 Tomas Mraz [email protected] 0.9.8k-2
• 添加对具有相同主题的多个 CRL 的支持
• 在 FIPS 模式下仅加载动态引擎支持
• 2009 年 3 月 25 日星期三 Tomas Mraz [email protected] 0.9.8k-1
• 更新到新的上游版本（小错误修复、安全性
  仅修复和机器代码优化）
• 2009 年 3 月 19 日星期四 Tomas Mraz [email protected] 0.9.8j-10
• 将库移动到 /usr/lib (#239375)
• 2009 年 3 月 13 日星期五 Tomas Mraz [email protected] 0.9.8j-9
• 添加静态子包
• 2009 年 2 月 26 日星期四 Fedora 发布工程[email protected] - 0.9.8j-8
• 为https://fedoraproject.org/wiki/Fedora_11_Mass_Rebuild重建
• 2009 年 2 月 2 日星期一 Tomas Mraz [email protected] 0.9.8j-7
• 还必须在 FIPS 模式下验证 libssl.so 的校验和
• 直接从内核设备获取 FIPS rng 的种子
• 删除临时符号链接
• 2009 年 1 月 26 日星期一 Tomas Mraz [email protected] 0.9.8j-6
• 在 post 中删除临时 triggerpostun 和符号链接
• 修复 pkgconfig 文件并删除不必要的 buildrequires
  在 pkgconfig 上，因为它是 rpmbuild 依赖项 (#481419)
• 2009 年 1 月 17 日星期六 Tomas Mraz [email protected] 0.9.8j-5
• 添加临时 triggerpostun 以恢复符号链接
• 2009 年 1 月 17 日星期六 Tomas Mraz [email protected] 0.9.8j-4
• 非 fips 模式下没有成对密钥测试 (#479817)
• 2009 年 1 月 16 日星期五 Tomas Mraz [email protected] 0.9.8j-3
• 对临时符号链接进行更强大的测试
• 2009 年 1 月 16 日星期五 Tomas Mraz [email protected] 0.9.8j-2
• 尝试确保存在临时符号链接
• 2009 年 1 月 15 日星期四 Tomas Mraz [email protected] 0.9.8j-1
• 带有必要 soname 凸起的新上游版本 (#455753)
• 临时提供旧 soname 的符号链接，以便重建
  rawhide 中的依赖包
• 添加 eap-fast 支持 (#428181)
• 通过设置添加禁用 zlib 的可能性
• 添加 fips 模式支持以进行测试
• 不要对一些无效的 smime 文件取消引用
• 添加构建需要 pkgconfig (#479493)
• 2008 年 8 月 10 日星期日 Tomas Mraz [email protected] 0.9.8g-11
• 也不要将 tls 扩展添加到 SSLv3 的服务器 hello
• 2008 年 6 月 2 日星期一 Joe Orton [email protected] 0.9.8g-10
• 将根 CA 捆绑包移动到 ca-certificates 包
• 2008 年 5 月 28 日星期三 Tomas Mraz [email protected] 0.9.8g-9
• 修复 CVE-2008-0891 - 服务器扩展名崩溃 (#448492)
• 修复 CVE-2008-1672 - 服务器密钥交换消息忽略崩溃 (#448495)
• 2008 年 5 月 27 日星期二 Tomas Mraz [email protected] 0.9.8g-8
• 超 H 拱形支撑
• 删除 bug 199604 的解决方法，因为它应该在 gcc-4.3 中修复
• 2008 年 5 月 19 日星期一 Tom “spot” Callaway [email protected] 0.9.8g-7
• 垃圾处理
• 2008 年 3 月 10 日星期一 Joe Orton [email protected] 0.9.8g-6
• 从 mozilla.org (r1.45) 更新到新的根 CA 包
• 2008 年 2 月 20 日星期三 Fedora 发布工程[email protected] - 0.9.8g-5
• GCC 4.3 的自动重建
• 2008 年 1 月 24 日星期四 Tomas Mraz [email protected] 0.9.8g-4
• 合并审查修复 (#226220)
• 调整 SHLIB_VERSION_NUMBER 以反映库名称 (#429846)
• 2007 年 12 月 13 日星期四 Tomas Mraz [email protected] 0.9.8g-3
• 未设置显式路径时设置默认路径 (#418771)
• 不要将 tls 扩展添加到 SSLv3 的客户端 hello (#422081)
• 2007 年 12 月 4 日星期二 Tomas Mraz [email protected] 0.9.8g-2
• 启用一些新的加密算法和功能
• 从 openssl CVS 添加一些更重要的错误修复
• 2007 年 12 月 3 日星期一 Tomas Mraz [email protected] 0.9.8g-1
• 更新到最新的上游版本，SONAME 撞到了 7
• 2007 年 10 月 15 日星期一 Joe Orton [email protected] 0.9.8b-17
• 从 mozilla.org 更新到新的 CA 包
• 2007 年 10 月 12 日星期五 Tomas Mraz [email protected] 0.9.8b-16
• 修复 CVE-2007-5135 - SSL_get_shared_ciphers (#309801)
• 修复 CVE-2007-4995 - 乱序 DTLS 片段缓冲区溢出 (#321191)
• 添加 alpha 子拱门 (#296031)
• 2007 年 8 月 21 日星期二 Tomas Mraz [email protected] 0.9.8b-15
• 重建
• 2007 年 8 月 3 日星期五 Tomas Mraz [email protected] 0.9.8b-14
• 在测试套件中使用 localhost，希望能修复 koji 中的缓慢构建
• CVE-2007-3108 - 修复对私钥的侧通道攻击 (#250577)
• 使 ssl 会话缓存 id 严格匹配 (#233599)
• 2007 年 7 月 25 日星期三 Tomas Mraz [email protected] 0.9.8b-13
• 允许在 ARM 架构上构建 (#245417)
• 使用参考时间戳来防止多库冲突 (#218064)
• -devel 包必须需要 pkgconfig (#241031)
• 2006 年 12 月 11 日星期一 Tomas Mraz [email protected] 0.9.8b-12
• 正确检测 add_dir 中的重复项 (#206346)
• 2006 年 11 月 30 日星期四 Tomas Mraz [email protected] 0.9.8b-11
• 之前的更改仍然没有使 X509_NAME_cmp 传递
• 2006 年 11 月 23 日星期四 Tomas Mraz [email protected] 0.9.8b-10
• 使 X509_NAME_cmp 传递否则证书查找
  坏了 (#216050)
• 2006 年 11 月 2 日星期四 Tomas Mraz [email protected] 0.9.8b-9
• 引擎加载中的别名错误，IBM 补丁 (#213216)
• 2006 年 10 月 2 日星期一 Tomas Mraz [email protected] 0.9.8b-8
• CVE-2006-2940 修复不正确 (#208744)
• 2006 年 9 月 25 日星期一 Tomas Mraz [email protected] 0.9.8b-7
• 修复 CVE-2006-2937 - ASN.1 解析处理错误 (#207276)
• 修复 CVE-2006-2940 - 寄生公钥 DoS (#207274)
• 修复 CVE-2006-3738 - SSL_get_shared_ciphers 中的缓冲区溢出 (#206940)
• 修复 CVE-2006-4343 - sslv2 客户端 DoS (#206940)
• 2006 年 9 月 5 日星期二 Tomas Mraz [email protected] 0.9.8b-6
• 修复 CVE-2006-4339 - 防止对 PKCS#1 v1.5 签名的攻击 (#205180)
• 2006 年 8 月 2 日星期三 Tomas Mraz [email protected] - 0.9.8b-5
• 设置 bufsize 时，在 stdio/stdout 文件上将缓冲设置为无 (#200580)
  IBM 的补丁
• 2006 年 7 月 28 日星期五 Alexandre Oliva [email protected] - 0.9.8b-4.1
• 使用新的 binutils 重建 (#200330)
• 2006 年 7 月 21 日星期五 Tomas Mraz [email protected] - 0.9.8b-4
• 为 s390 上的 sha512 测试失败添加临时解决方法 (#199604)
• 2006 年 7 月 20 日星期四 Tomas Mraz [email protected]
• 为 s_client 和 s_server 添加 ipv6 支持（作者 Jan Pazdziora）（#198737）
• 添加 BN 线程安全补丁、AES 缓存冲突攻击危害修复和
  来自上游 CVS 的 pkcs7 代码 memleak 修复
• 2006 年 7 月 12 日星期三 杰西·基廷[email protected] - 0.9.8b-3.1
• 重建
• 2006 年 6 月 21 日星期三 Tomas Mraz [email protected] - 0.9.8b-3
• 从构建中删除了 libica 和 ica 引擎
• 2006 年 6 月 21 日星期三 Joe Orton [email protected]
• 从 mozilla.org 更新到新的 CA 包； 添加 CA 证书
  来自 netlock.hu 和 startcom.org
• 2006 年 6 月 5 日星期一 Tomas Mraz [email protected] - 0.9.8b-2
• 修复了一些 rpmlint 警告
• 从上游更好地修复 #173399
• pkcs12 的上游修复
• 2006 年 5 月 11 日星期四 Tomas Mraz [email protected] - 0.9.8b-1
• 升级到新版本，保持 ABI 兼容
• 没有更多的 linux/config.h （反正它是空的）
• 2006 年 4 月 4 日星期二 Tomas Mraz [email protected] - 0.9.8a-6
• 修复 libica 中过时的打开句柄 (#177155)
• 修复 buildroot 路径中的 'rand' 或 'passwd' (#178782)
• 初始化威盛挂锁引擎 (#186857)
• 2006 年 2 月 10 日星期五 杰西·基廷[email protected] - 0.9.8a-5.2
• 再次碰撞 ppc(64) 上的双长错误
• 2006 年 2 月 7 日星期二 Jesse Keating [email protected] - 0.9.8a-5.1
• 为新的 gcc4.1 快照和 glibc 更改而重建
• 2005 年 12 月 15 日星期四 Tomas Mraz [email protected] 0.9.8a-5
• 不包括 SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
  在 SSL_OP_ALL (#175779)
• 2005 年 12 月 9 日星期五 杰西·基廷[email protected]
• 重建
• 2005 年 11 月 29 日星期二 Tomas Mraz [email protected] 0.9.8a-4
• 修复更新的 libica 的构建（-lcrypto 被错误删除）
• 将 ICA 引擎更新到 1.3.6-rc3
• 2005 年 11 月 22 日星期二 Tomas Mraz [email protected] 0.9.8a-3
• 暂时禁用内置压缩方法，直到它们起作用
  正确 (#173399)
• 2005 年 11 月 16 日星期三 Tomas Mraz [email protected] 0.9.8a-2
• 不要为 openssl 二进制文件设置 -rpath
• 2005 年 11 月 8 日星期二 Tomas Mraz [email protected] 0.9.8a-1
• 新的上游版本
• 部分重新编号的补丁
• 2005 年 10 月 21 日星期五 Tomas Mraz [email protected] 0.9.7f-11
• 将 IBM ICA 引擎库和补丁更新到最新的上游版本
• 2005 年 10 月 12 日星期三 Tomas Mraz [email protected] 0.9.7f-10
• 修复 CAN-2005-2969 - 删除 SSL_OP_MSIE_SSLV2_RSA_PADDING
  在 SSLv2 中禁用针对中间人攻击的对策
  (#169863)
• 使用 sha1 作为 CA 和证书请求的默认值 - CAN-2005-2946 (#169803)
• 2005 年 8 月 23 日星期二 Tomas Mraz [email protected] 0.9.7f-9
• 在 /lib 中添加 *.so.soversion 作为符号链接 (#165264)
• 删除未打包的符号链接 (#159595)
• 来自上游的修复（DSA 的恒定时间修复，
  ppc arch 上的 bn 汇编器 div，在 realloc 上初始化内存）
• 2005 年 8 月 11 日星期四 Phil Knirsch [email protected] 0.9.7f-8
• 将 ICA 引擎 IBM 补丁更新为最新的上游版本。
• 2005 年 5 月 19 日星期四 Tomas Mraz [email protected] 0.9.7f-7
• 修复 CAN-2005-0109 - 使用恒定时间/内存访问 mod_exp
  因此缓存驱逐不会泄露私钥位 (#157631)
• 来自上游 0.9.7g 的更多修复
• 2005 年 4 月 27 日星期三 Tomas Mraz [email protected] 0.9.7f-6
• 在 rand 中使用 poll 而不是 select (#128285)
• 修复 Makefile.certificate 指向 /etc/pki/tls
• 将 ASN1 中的默认字符串掩码更改为 PrintableString+UTF8String
• 2005 年 4 月 25 日星期一 Joe Orton [email protected] 0.9.7f-5
• 更新到 Mozilla CA 包的 1.37 版
• 2005 年 4 月 21 日星期四 Tomas Mraz [email protected] 0.9.7f-4
• 将证书移动到 _sysconfdir/pki/tls (#143392)
• 将 CA 目录移动到 _sysconfdir/pki/CA
• 修补 CA 脚本和默认配置，使其指向
  CA 目录
• 2005 年 4 月 1 日星期五 Tomas Mraz [email protected] 0.9.7f-3
• 未初始化的变量不能用作内联的输入
  集会
• 再次重新启用 x86_64 程序集
• 2005 年 3 月 31 日星期四 Tomas Mraz [email protected] 0.9.7f-2
• 在 ia64 和 x86_64 上加回 RC4_CHAR，这样 ABI 就不会损坏
• 在 x86_64 上禁用损坏的 bignum 程序集
• 2005 年 3 月 30 日星期三 Tomas Mraz [email protected] 0.9.7f-1
• 重新启用 ppc64 上的优化和 ia64 上的汇编代码
• 升级到新的上游版本（不需要 soname bump）
• 禁用线程测试 - 它正在测试
  RSA 致盲 - 不再需要
• 添加了对将序列号更改为的支持
  Makefile.certificate (#151188)
• 使 ca-bundle.crt 成为配置文件 (#118903)
• 2005 年 3 月 1 日星期二 Tomas Mraz [email protected] 0.9.7e-3
• libcrypto 不应该依赖于 libkrb5 (#135961)
• 2005 年 2 月 28 日星期一 Tomas Mraz [email protected] 0.9.7e-2
• 重建
• 2005 年 2 月 28 日星期一 Tomas Mraz [email protected] 0.9.7e-1
• 新的上游源，更新的补丁
• 添加了补丁，因此我们希望 ABI 与即将推出的兼容
  0.9.7f
• 2005 年 2 月 10 日星期四 Tomas Mraz [email protected]
• 在 Makefile.certificate 中支持 UTF-8 字符集 (#134944)
• 将 cmp 添加到 BuildPrereq
• 2005 年 1 月 27 日星期四乔·奥顿[email protected] 0.9.7a-46
• 从 Mozilla certdata.txt (revision 1.32) 生成新的 ca-bundle.crt
• 2004 年 12 月 23 日星期四 Phil Knirsch [email protected] 0.9.7a-45
• 修复和更新 libica-1.3.4-urandom.patch 补丁 (#122967)
• 2004 年 11 月 19 日星期五 Nalin Dahyabhai [email protected] 0.9.7a-44
• 重建
• 2004 年 11 月 19 日星期五 Nalin Dahyabhai [email protected] 0.9.7a-43
• 重建
• 2004 年 11 月 19 日星期五 Nalin Dahyabhai [email protected] 0.9.7a-42
• 重建
• 2004 年 11 月 19 日星期五 Nalin Dahyabhai [email protected] 0.9.7a-41
• 删除 der_chop，就像上游 cvs 所做的那样 (CAN-2004-0975, #140040)
• 2004 年 10 月 5 日星期二 Phil Knirsch [email protected] 0.9.7a-40
• 包括带有重要错误修复的最新 libica 版本
• 2004 年 6 月 15 日星期二 Elliot Lee [email protected]
• 重建
• 2004 年 6 月 14 日星期一 Phil Knirsch [email protected] 0.9.7a-38
• 将 ICA 引擎 IBM 补丁更新为最新的上游版本。
• 2004 年 6 月 7 日星期一 Nalin Dahyabhai [email protected] 0.9.7a-37
• 为 linux-alpha-gcc 而不是在 alpha 上构建 alpha-gcc (Jeff Garzik)
• 2004 年 5 月 25 日星期二 Nalin Dahyabhai [email protected] 0.9.7a-36
• 在中间处理 %{_arch}=i486/i586/i686/athlon 案例
  标头 (#124303)
• 2004 年 3 月 25 日星期四 Joe Orton [email protected] 0.9.7a-35
• 为 CAN-2004-0079、CAN-2004-0112 添加安全修复程序
• 2004 年 3 月 16 日星期二 Phil Knirsch [email protected]
• 修复了 libica 文件规范。
• 2004 年 3 月 11 日星期四 Nalin Dahyabhai [email protected] 0.9.7a-34
• ppc/ppc64 定义powerpc / powerpc64 ，不是ppc / ppc64 ，修复
  中间标头
• 2004 年 3 月 10 日，星期三 Nalin Dahyabhai [email protected] 0.9.7a-33
• 添加中间体指向右边
  多库拱门上特定于拱门的 opensslconf.h
• 2004 年 3 月 2 日星期二 Elliot Lee [email protected]
• 重建
• 2004 年 2 月 26 日星期四 Phil Knirsch [email protected] 0.9.7a-32
• 将 libica 更新到最新的上游版本 1.3.5。
• 2004 年 2 月 17 日星期二 Phil Knirsch [email protected] 0.9.7a-31
• 将 IBM 的 ICA 加密引擎补丁更新到最新版本。
• 2004 年 2 月 13 日星期五 Elliot Lee [email protected]
• 重建
• 2004 年 2 月 13 日星期五 Phil Knirsch [email protected] 0.9.7a-29
• 重建
• 2004 年 2 月 11 日星期三 Phil Knirsch [email protected] 0.9.7a-28
• 修复了 libica 构建。
• 2004 年 2 月 4 日星期三 Nalin Dahyabhai [email protected]
• 添加“-ldl”到为 Linux-on-ARM 添加的链接标志 (#99313)
• 2004 年 2 月 4 日星期三 Joe Orton [email protected] 0.9.7a-27
• 更新 ca-bundle.crt：删除过期的 GeoTrust 根，添加
  freessl.com 根目录，删除 trustcenter.de 0 类根目录
• 2003 年 11 月 30 日星期日 Tim Waugh [email protected] 0.9.7a-26
• 修复 libssl 的链接行（错误 #111154）。
• 2003 年 10 月 24 日星期五 Nalin Dahyabhai [email protected] 0.9.7a-25
• 为 -devel 包添加对 zlib-devel 的依赖，该包依赖于 zlib
  符号，因为我们为 libssl 启用了 zlib (#102962)
• 2003 年 10 月 24 日星期五 Phil Knirsch [email protected] 0.9.7a-24
• 对 libica 使用 /dev/urandom 而不是 PRNG。
• 为 icalinux.c 中的 /dev/urandom 应用 libica-1.3.5 修复
• 使用来自 IBM 的最新 ICA 引擎补丁。
• 2003 年 10 月 4 日星期六 Nalin Dahyabhai [email protected] 0.9.7a-22.1
• 重建
• 2003 年 10 月 1 日星期三 Nalin Dahyabhai [email protected] 0.9.7a-22
• 重建（实际上并没有建造 22 个，有趣吧？）
• 2003 年 9 月 30 日星期二 Nalin Dahyabhai [email protected] 0.9.7a-23
• 重新禁用 ppc64 上的优化
• 2003 年 9 月 30 日星期二 Joe Orton [email protected]
• 从 CVS 为 64 位平台添加 a_mbstr.c 修复
• 2003 年 9 月 30 日星期二 Nalin Dahyabhai [email protected] 0.9.7a-22
• 将 -Wa,--noexecstack 添加到 RPM_OPT_FLAGS 以便对组装的模块进行标记
  因为不需要可执行堆栈
• 2003 年 9 月 29 日星期一 Nalin Dahyabhai [email protected] 0.9.7a-21
• 重建
• 2003 年 9 月 25 日星期四 Nalin Dahyabhai [email protected]
• 重新启用 ppc64 上的优化
• 2003 年 9 月 25 日星期四 Nalin Dahyabhai [email protected]
• remove exclusivearch
• Wed Sep 24 2003 Nalin Dahyabhai [email protected] 0.9.7a-20
• only parse a client cert if one was requested
• temporarily exclusivearch for %{ix86}
• Tue Sep 23 2003 Nalin Dahyabhai [email protected]
• add security fixes for protocol parsing bugs (CAN-2003-0543, CAN-2003-0544)
  and heap corruption (CAN-2003-0545)
• update RHNS-CA-CERT files
• ease back on the number of threads used in the threading test
• Wed Sep 17 2003 Matt Wilson [email protected] 0.9.7a-19
• rebuild to fix gzipped file md5sums (#91211)
• Mon Aug 25 2003 Phil Knirsch [email protected] 0.9.7a-18
• Updated libica to version 1.3.4.
• Thu Jul 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-17
• 重建
• Tue Jul 15 2003 Nalin Dahyabhai [email protected] 0.9.7a-10.9
• free the kssl_ctx structure when we free an SSL structure (#99066)
• Fri Jul 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-16
• 重建
• Thu Jul 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-15
• lower thread test count on s390x
• Tue Jul 08 2003 Nalin Dahyabhai [email protected] 0.9.7a-14
• 重建
• Thu Jun 26 2003 Nalin Dahyabhai [email protected] 0.9.7a-13
• disable assembly on arches where it seems to conflict with threading
• Thu Jun 26 2003 Phil Knirsch [email protected] 0.9.7a-12
• Updated libica to latest upstream version 1.3.0
• Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-9.9
• 重建
• Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-11
• 重建
• Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-10
• ubsec: don't stomp on output data which might also be input data
• Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-9
• temporarily disable optimizations on ppc64
• Mon Jun 09 2003 Nalin Dahyabhai [email protected]
• backport fix for engine-used-for-everything from 0.9.7b
• backport fix for prng not being seeded causing problems, also from 0.9.7b
• add a check at build-time to ensure that RSA is thread-safe
• keep perlpath from stomping on the libica configure scripts
• Fri Jun 06 2003 Nalin Dahyabhai [email protected]
• thread-safety fix for RSA blinding
• Wed Jun 04 2003 Elliot Lee [email protected] 0.9.7a-8
• rebuilt
• Fri May 30 2003 Phil Knirsch [email protected] 0.9.7a-7
• Added libica-1.2 to openssl (featurerequest).
• Wed Apr 16 2003 Nalin Dahyabhai [email protected] 0.9.7a-6
• fix building with incorrect flags on ppc64
• Wed Mar 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-5
• add patch to harden against Klima-Pokorny-Rosa extension of Bleichenbacher's
  attack (CAN-2003-0131)
• Mon Mar 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-4
• add patch to enable RSA blinding by default, closing a timing attack
  (CAN-2003-0147)
• Wed Mar 05 2003 Nalin Dahyabhai [email protected] 0.9.7a-3
• disable use of BN assembly module on x86_64, but continue to allow inline
  assembly (#83403)
• Thu Feb 27 2003 Nalin Dahyabhai [email protected] 0.9.7a-2
• disable EC algorithms
• Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-1
• update to 0.9.7a
• Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7-8
• add fix to guard against attempts to allocate negative amounts of memory
• add patch for CAN-2003-0078, fixing a timing attack
• Thu Feb 13 2003 Elliot Lee [email protected] 0.9.7-7
• Add openssl-ppc64.patch
• Mon Feb 10 2003 Nalin Dahyabhai [email protected] 0.9.7-6
• EVP_DecryptInit should call EVP_CipherInit() instead of EVP_CipherInit_ex(),
  to get the right behavior when passed uninitialized context structures
  (#83766)
• build with -mcpu=ev5 on alpha family (#83828)
• Wed Jan 22 2003 Tim Powers [email protected]
• rebuilt
• Fri Jan 17 2003 Phil Knirsch [email protected] 0.9.7-4
• Added IBM hw crypto support patch.
• Wed Jan 15 2003 Nalin Dahyabhai [email protected]
• add missing builddep on sed
• Thu Jan 09 2003 Bill Nottingham [email protected] 0.9.7-3
• debloat
• fix broken manpage symlinks
• Wed Jan 08 2003 Nalin Dahyabhai [email protected] 0.9.7-2
• fix double-free in 'openssl ca'
• Fri Jan 03 2003 Nalin Dahyabhai [email protected] 0.9.7-1
• update to 0.9.7 final
• Tue Dec 17 2002 Nalin Dahyabhai [email protected] 0.9.7-0
• update to 0.9.7 beta6 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
• Wed Dec 11 2002 Nalin Dahyabhai [email protected]
• update to 0.9.7 beta5 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
• Tue Oct 22 2002 Nalin Dahyabhai [email protected] 0.9.6b-30
• add configuration stanza for x86_64 and use it on x86_64
• build for linux-ppc on ppc
• start running the self-tests again
• Wed Oct 02 2002 Elliot Lee [email protected] 0.9.6b-29hammer.3
• Merge fixes from previous hammer packages, including general x86-64 and
  multilib
• Tue Aug 06 2002 Nalin Dahyabhai [email protected] 0.9.6b-29
• 重建
• Thu Aug 01 2002 Nalin Dahyabhai [email protected] 0.9.6b-28
• update asn patch to fix accidental reversal of a logic check
• Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-27
• update asn patch to reduce chance that compiler optimization will remove
  one of the added tests
• Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-26
• 重建
• Mon Jul 29 2002 Nalin Dahyabhai [email protected] 0.9.6b-25
• add patch to fix ASN.1 vulnerabilities
• Thu Jul 25 2002 Nalin Dahyabhai [email protected] 0.9.6b-24
• add backport of Ben Laurie's patches for OpenSSL 0.9.6d
• Wed Jul 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-23
• own {_datadir}/ssl/misc
• Fri Jun 21 2002 Tim Powers [email protected]
• automated rebuild
• Sun May 26 2002 Tim Powers [email protected]
• automated rebuild
• Fri May 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-20
• free ride through the build system (whee!)
• Thu May 16 2002 Nalin Dahyabhai [email protected] 0.9.6b-19
• rebuild in new environment
• Thu Apr 04 2002 Nalin Dahyabhai [email protected] 0.9.6b-17, 0.9.6b-18
• merge RHL-specific bits into stronghold package, rename
• Tue Apr 02 2002 Gary Benson [email protected] stronghold-0.9.6c-2
• add support for Chrysalis Luna token
• Tue Mar 26 2002 Gary Benson [email protected]
• disable AEP random number generation, other AEP fixes
• Fri Mar 15 2002 Nalin Dahyabhai [email protected] 0.9.6b-15
• only build subpackages on primary arches
• Thu Mar 14 2002 Nalin Dahyabhai [email protected] 0.9.6b-13
• on ia32, only disable use of assembler on i386
• enable assembly on ia64
• Mon Jan 07 2002 Florian La Roche Florian. [email protected] 0.9.6b-11
• fix sparcv9 entry
• Mon Jan 07 2002 Gary Benson [email protected] stronghold-0.9.6c-1
• upgrade to 0.9.6c
• bump BuildArch to i686 and enable assembler on all platforms
• synchronise with shrimpy and rawhide
• bump soversion to 3
• Wed Oct 10 2001 Florian La Roche Florian. [email protected]
• delete BN_LLONG for s390x, patch from Oliver Paukstadt
• Mon Sep 17 2001 Nalin Dahyabhai [email protected] 0.9.6b-9
• update AEP driver patch
• Mon Sep 10 2001 Nalin Dahyabhai [email protected]
• adjust RNG disabling patch to match version of patch from Broadcom
• Fri Sep 07 2001 Nalin Dahyabhai [email protected] 0.9.6b-8
• disable the RNG in the ubsec engine driver
• Tue Aug 28 2001 Nalin Dahyabhai [email protected] 0.9.6b-7
• tweaks to the ubsec engine driver
• Fri Aug 24 2001 Nalin Dahyabhai [email protected] 0.9.6b-6
• tweaks to the ubsec engine driver
• Thu Aug 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-5
• update ubsec engine driver from Broadcom
• Fri Aug 10 2001 Nalin Dahyabhai [email protected] 0.9.6b-4
• move man pages back to %{_mandir}/man?/foo.?ssl from
  %{_mandir}/man?ssl/foo.?
• add an [ engine ] section to the default configuration file
• Thu Aug 09 2001 Nalin Dahyabhai [email protected]
• add a patch for selecting a default engine in SSL_library_init()
• Mon Jul 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-3
• add patches for AEP hardware support
• add patch to keep trying when we fail to load a cert from a file and
  there are more in the file
• add missing prototype for ENGINE_ubsec() in engine_int.h
• Wed Jul 18 2001 Nalin Dahyabhai [email protected] 0.9.6b-2
• actually add hw_ubsec to the engine list
• Tue Jul 17 2001 Nalin Dahyabhai [email protected]
• add in the hw_ubsec driver from CVS
• Wed Jul 11 2001 Nalin Dahyabhai [email protected] 0.9.6b-1
• update to 0.9.6b
• Thu Jul 05 2001 Nalin Dahyabhai [email protected]
• move .so symlinks back to %{_libdir}
• Tue Jul 03 2001 Nalin Dahyabhai [email protected]
• move shared libraries to /lib (#38410)
• Mon Jun 25 2001 Nalin Dahyabhai [email protected]
• switch to engine code base
• Mon Jun 18 2001 Nalin Dahyabhai [email protected]
• add a script for creating dummy certificates
• move man pages from %{_mandir}/man?/foo.?ssl to %{_mandir}/man?ssl/foo.?
• Thu Jun 07 2001 Florian La Roche Florian. [email protected]
• add s390x support
• Fri Jun 01 2001 Nalin Dahyabhai [email protected]
• change two memcpy() calls to memmove()
• don't define L_ENDIAN on alpha
• Wed May 23 2001 Joe Orton [email protected] stronghold-0.9.6a-1
• Add 'stronghold-' prefix to package names.
• Obsolete standard openssl packages.
• Wed May 16 2001 Joe Orton [email protected]
• Add BuildArch: i586 as per Nalin's advice.
• Tue May 15 2001 Joe Orton [email protected]
• Enable assembler on ix86 (using new .tar.bz2 which does
  include the asm directories).
• Tue May 15 2001 Nalin Dahyabhai [email protected]
• make subpackages depend on the main package
• Tue May 01 2001 Nalin Dahyabhai [email protected]
• adjust the hobble script to not disturb symlinks in include/ (fix from
  Joe Orton)
• Fri Apr 27 2001 Nalin Dahyabhai [email protected]
• drop the m2crypo patch we weren't using
• Tue Apr 24 2001 Nalin Dahyabhai [email protected]
• configure using "shared" as well
• Sun Apr 08 2001 Nalin Dahyabhai [email protected]
• update to 0.9.6a
• use the build-shared target to build shared libraries
• bump the soversion to 2 because we're no longer compatible with
  our 0.9.5a packages or our 0.9.6 packages
• drop the patch for making rsatest a no-op when rsa null support is used
• put all man pages into
  ssl instead of
• break the m2crypto modules into a separate package
• Tue Mar 13 2001 Nalin Dahyabhai [email protected]
• use BN_LLONG on s390
• Mon Mar 12 2001 Nalin Dahyabhai [email protected]
• fix the s390 changes for 0.9.6 (isn't supposed to be marked as 64-bit)
• Sat Mar 03 2001 Nalin Dahyabhai [email protected]
• move c_rehash to the perl subpackage, because it's a perl script now
• Fri Mar 02 2001 Nalin Dahyabhai [email protected]
• update to 0.9.6
• enable MD2
• use the libcrypto.so and libssl.so targets to build shared libs with
• bump the soversion to 1 because we're no longer compatible with any of
  the various 0.9.5a packages circulating around, which provide lib*.so.0
• Wed Feb 28 2001 Florian La Roche Florian. [email protected]
• change hobble-openssl for disabling MD2 again
• Tue Feb 27 2001 Nalin Dahyabhai [email protected]
• re-disable MD2 -- the EVP_MD_CTX structure would grow from 100 to 152
  bytes or so, causing EVP_DigestInit() to zero out stack variables in
  apps built against a version of the library without it
• Mon Feb 26 2001 Nalin Dahyabhai [email protected]
• disable some inline assembly, which on x86 is Pentium-specific
• re-enable MD2 (see http://www.ietf.org/ietf/IPR/RSA-MD-all)
• Thu Feb 08 2001 Florian La Roche Florian. [email protected]
• fix s390 patch
• Fri Dec 08 2000 Than Ngo [email protected]
• added support s390
• Mon Nov 20 2000 Nalin Dahyabhai [email protected]
• remove -Wa,* and -m* compiler flags from the default Configure file (#20656)
• add the CA.pl man page to the perl subpackage
• Thu Nov 02 2000 Nalin Dahyabhai [email protected]
• always build with -mcpu=ev5 on alpha
• Tue Oct 31 2000 Nalin Dahyabhai [email protected]
• add a symlink from cert.pem to ca-bundle.crt
• Wed Oct 25 2000 Nalin Dahyabhai [email protected]
• add a ca-bundle file for packages like Samba to reference for CA certificates
• Tue Oct 24 2000 Nalin Dahyabhai [email protected]
• remove libcrypto's crypt(), which doesn't handle md5crypt (#19295)
• Mon Oct 02 2000 Nalin Dahyabhai [email protected]
• add unzip as a buildprereq (#17662)
• update m2crypto to 0.05-snap4
• Tue Sep 26 2000 Bill Nottingham [email protected]
• fix some issues in building when it's not installed
• Wed Sep 06 2000 Nalin Dahyabhai [email protected]
• make sure the headers we include are the ones we built with (aaaaarrgh!)
• Fri Sep 01 2000 Nalin Dahyabhai [email protected]
• add Richard Henderson's patch for BN on ia64
• clean up the changelog
• Tue Aug 29 2000 Nalin Dahyabhai [email protected]
• fix the building of python modules without openssl-devel already installed
• Wed Aug 23 2000 Nalin Dahyabhai [email protected]
• byte-compile python extensions without the build-root
• adjust the makefile to not remove temporary files (like .key files when
  building .csr files) by marking them as .PRECIOUS
• Sat Aug 19 2000 Nalin Dahyabhai [email protected]
• break out python extensions into a subpackage
• Mon Jul 17 2000 Nalin Dahyabhai [email protected]
• tweak the makefile some more
• Tue Jul 11 2000 Nalin Dahyabhai [email protected]
• disable MD2 support
• Thu Jul 06 2000 Nalin Dahyabhai [email protected]
• disable MDC2 support
• Sun Jul 02 2000 Nalin Dahyabhai [email protected]
• tweak the disabling of RC5, IDEA support
• tweak the makefile
• Thu Jun 29 2000 Nalin Dahyabhai [email protected]
• strip binaries and libraries
• rework certificate makefile to have the right parts for Apache
• Wed Jun 28 2000 Nalin Dahyabhai [email protected]
• use %{_perl} instead of /usr/bin/perl
• disable alpha until it passes its own test suite
• Fri Jun 09 2000 Nalin Dahyabhai [email protected]
• move the passwd.1 man page out of the passwd package's way
• Fri Jun 02 2000 Nalin Dahyabhai [email protected]
• update to 0.9.5a, modified for US
• add perl as a build-time requirement
• move certificate makefile to another package
• disable RC5, IDEA, RSA support
• remove optimizations for now
• Wed Mar 01 2000 Florian La Roche Florian. [email protected]
• Bero told me to move the Makefile into this package
• Wed Mar 01 2000 Florian La Roche Florian. [email protected]
• add lib*.so symlinks to link dynamically against shared libs
• Tue Feb 29 2000 Florian La Roche Florian. [email protected]
• update to 0.9.5
• run ldconfig directly in post/postun
• add FAQ
• Sat Dec 18 1999 Bernhard Rosenkrdnzer [email protected]
• Fix build on non-x86 platforms
• Fri Nov 12 1999 Bernhard Rosenkrdnzer [email protected]
• move /usr/share/ssl/* from -devel to main package
• Tue Oct 26 1999 Bernhard Rosenkrdnzer [email protected]
• inital packaging
• changes from base:
  
  
  
  • Move /usr/local/ssl to /usr/share/ssl for FHS compliance
  
  
  • handle RPM_OPT_FLAGS
  
  

看起来@Lekinho删除了他们的 github 帐户？ 对于下一个有问题的人 - 他们的 OpenSsl 或 Python 升级可能会破坏一些已编译的 c 绑定。 每当我进行这样的升级时，我都会丢弃我的 virtualenv 或所有包，然后构建一个新包。

@jvanasco我还在这里。
我想知道，你有一个我可以用来测试的公共 URL 吗？ 我想看看解决方法是否真的解决了确诊病例的问题（这意味着我在尝试这样做时没有搞砸）

@卢卡萨

工作版本和更新版本之间的变更集子集：+1：
2016 年 5 月 2 日星期一 Tomáš Mráz [email protected] 1.0.1e-48.1
修复 CVE-2016-2105 - base64 编码可能溢出
修复 CVE-2016-2106 - EVP_EncryptUpdate() 中可能的溢出
修复 CVE-2016-2107 - 在缝合的 AES-NI CBC-MAC 中填充 oracle
修复 CVE-2016-2108 - ASN.1 编码器中的内存损坏
修复 CVE-2016-2109 - 从 BIO 读取 ASN.1 数据时可能出现 DoS
修复 CVE-2016-0799 - BIO_printf 中的内存问题

2016 年 2 月 24 日星期三 Tomáš Mráz [email protected] 1.0.1e-48

修复 CVE-2016-0702 - 对模幂的侧信道攻击
修复 CVE-2016-0705 - DSA 私钥解析中的双重释放
修复 CVE-2016-0797 - BN_hex2bn 和 BN_dec2bn 中的堆损坏

2016 年 2 月 16 日星期二 Tomáš Mráz [email protected] 1.0.1e-47

修复 CVE-2015-3197 - SSLv2 密码套件实施
在通用 TLS 方法中禁用 SSLv2

2016 年 1 月 15 日星期五 Tomáš Mráz [email protected] 1.0.1e-46

修复 pkcs12 解析中的 1 字节内存泄漏 (#1229871)
记录 speed 命令的一些选项 (#1197095)

2016 年 1 月 14 日星期四 Tomáš Mráz [email protected] 1.0.1e-45

修复时间戳权威中的高精度时间戳

2015 年 12 月 21 日星期一 Tomáš Mráz [email protected] 1.0.1e-44

修复 CVE-2015-7575 - 不允许在 TLS1.2 中使用 MD5

2015 年 12 月 4 日星期五 Tomáš Mráz [email protected] 1.0.1e-43

修复 CVE-2015-3194 - 缺少 PSS 参数的证书验证崩溃
修复 CVE-2015-3195 - X509_ATTRIBUTE 内存泄漏
修复 CVE-2015-3196 - 处理 PSK 身份提示时的竞争条件

2015 年 6 月 23 日星期二 Tomáš Mráz [email protected] 1.0.1e-42

更新 ：
所以我找到了解决这个问题的方法。
基本上，一位同事正在阅读这个问题，并看到一些关于 RHEL openssl 对 ECC/ECDH 密码的支持无论出于何种原因都不是 100% 的帖子。

我们通过显式禁用 ECDH 密码来尝试对 URL 的请求（添加来自 openssl 脚本本身的否定，即 openssl s_client -connect 10.85.103.218:8443 -cipher 'DEFAULT:!ECDH'）

我们能够成功连接。

这是 ubuntu 14.04 上 openssl 的默认密码列表
ECDH+ AESGCM:DH+AESGCM :ECDH+AES256:DH+AES256:ECDH+AES128:DH+ AES:ECDH+HIGH :DH+ HIGH:ECDH+3DES :DH+3 DES:RSA+AESGCM :RSA+ AES:RSA+HIGH :RSA +3DES:!aNULL:!eNULL:!MD5

因此，有了这些知识，我使用 pyopenssl 打印出我的默认 SSL 密码，并从字符串中显式删除每个 ECDH 密码。 在从请求包中导入 urllib3 的块中是否正确（即在开始发出任何实际请求之前）这里有类似的东西：
https://github.com/kennethreitz/requests/issues/1308

我意识到此操作可能存在安全风险，但至少这可以让我们继续前进并更加清楚地了解它。

为什么这些特定的密码似乎对 RHEL 来说是个问题，我不知道。

当我有更多时间查看可能引入的特定 RHEL 更改并详细阅读目的时，我会尝试。

任何人都知道更多关于密码的信息？

有同样的问题... ARG...

@lukas-gitl 沮丧不会帮助您解决问题。 向我们提供有关您的环境的信息（最好是我们在上面询问 Lekinho 的一些信息（如果不是全部））会有所帮助。

@sigmavirus24抱歉。 我打算提供更多信息，然后被跟踪（因为我没有时间这样做）。 我正在使用 Ubuntu 14.04、python 2.7.6 和 pip 上的最新请求版本。 当我尝试作为 API Gateway 端点访问时会发生这种情况（它们可能非常严格）。

我尝试删除 virtualenv 并重新生成它，但不幸的是并没有解决它。

让我知道你还需要什么。 我当时切换到 nodejs，但很乐意帮助解决问题。

@lukas-gitl 您正在联系的服务器很可能需要您不提供的密码，或者您不提供的 TLS 版本。 这可能与您安装的 OpenSSL 有关。 您还应该尝试运行pip install requests[security] ：您可能会遇到 SNI 问题。

是的，我也已经试过了。 让我在这里放一个快速测试脚本，以便我们在同一页面上。

virtualenv -p /usr/bin/python2.7 环境
源环境/bin/激活
pip 安装请求
pip 安装请求[安全]
回声“导入请求”>> test.py
echo 'requests.get("https://API_ID.execute-api.us-west-2.amazonaws.com/ENV/ENPOINT")' >> test.py
蟒蛇测试.py

你看到了什么具体的错误？

.../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:318: SNIMissingWarning: An HTTPS request has been made, but the SNI (Subject Name Indication) extension to TLS is not available on this platform. This may cause the server to present an incorrect TLS certificate, which can cause validation failures. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#snimissingwarning. SNIMissingWarning .../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:122: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning. InsecurePlatformWarning Traceback (most recent call last): File "test.py", line 2, in <module> requests.get("https://sbsz8eqowe.execute-api.us-west-2.amazonaws.com/dev/segment_to_s3_webhook") File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure```

所以我基本上需要更新到更高版本的python？

好的，这两个警告都表明您的请求实际上并未使用请求 [安全] 的扩展。 它强烈建议您执行的任何 Python _not_ 都不是您在虚拟环境中安装的： requests[security] 扩展应该删除这些警告。

@lukas-gitl 请看我上面的笔记。
您有权访问服务器吗？ 比较服务器和客户端的默认密码列表。
很可能其中一个不支持另一个中的第一组密码，因此出现错误。

您可以使用我在这里使用的简单脚本检查默认密码：

!/usr/bin/python

导入系统
导入操作系统
导入 ssl
打印（ssl.OPENSSL_VERSION）
sys.path.insert(1, os.path.abspath(os.path.join(os.getcwd(), 'lib')))
sys.path.append('/usr/local/lib/python2.7/dist-packages')
导入请求
从 requests.packages.urllib3.contrib 导入 pyopenssl
pyopenssl.inject_into_urllib3()
打印 pyopenssl.DEFAULT_SSL_CIPHER_LIST

好吧，现在我真的很困惑。 错误消息来自虚拟环境。 那么，当我从不同的 python 环境执行时，这些怎么可能来自那里呢？

所以我尝试pip install pyopenssl ndg-httpsclient pyasn1而不是pip install requests[security]并且有效...

啊哈，我怀疑你的点子太老了，无法处理额外的东西。

啊，该死的。 这解释了很多。 非常感谢您的帮助！

我在这里遇到了同样的麻烦，我是通过以下代码发送一个 GET 请求：
requests.get('https://mdskip.taobao.com/core/initItemDetail.htm?itemId=530444505608&showShopProm=false&queryMemberRight=true&isRegionLevel=false&tmallBuySupport=true&addressLevel=2&sellerPreview=false&isForbidBuyItem=false&cachedTimestamp=1466835924196&offlineShop=false&household=false&tryBeforeBuy=false&isSecKill=false&service3C=false&isApparel=true&isUseInventoryCenter=false&cartEnable=true&isAreaSell=false&callback=setMdskip&timestamp=1466841669969&isg=Al9faN3XWRpIf6UEoQ88UH/1b7np0rNm&ref=https%3A%2F%2Fs.taobao.com%2Fsearch%3Fq%3D%25E6%258B%2589%25E5%25A4%258F%25E8%25B4%259D%25E5%25B0%2594%26imgfile%3D%26commend%3Dall%26ssid%3Ds5-e%26search_type%3Ditem%26sourceId%3Dtb.index%26spm%3Da21bo.50862.201856-taobao-item.1%26ie%3Dutf8%26initiative_id%3Dtbindexz_20160625')

不幸的是，我收到了错误信息：
Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

我尝试过 brew install openssl、brew upgrade openssl、pip install --upgrade pip、pip install requests、pip install request[security]，但它们没有用。

但是，当我输入openssl version时，我得到了OpenSSL 0.9.8zh 14 Jan 2016 ，我不知道是否可以。

有没有人可以帮助我？

@jschwinger23你也可以运行pip install pyopenssl ndg-httpsclient pyasn1吗？

@Lukasa感谢您的回复。 我再次确认我确实安装了它们：

$ pip install pyopenssl ndg-httpsclient pyasn1 Requirement already satisfied (use --upgrade to upgrade): pyopenssl in /System/Library/Frameworks/Python.framework/Versions/2.7/Extras/lib/python Requirement already satisfied (use --upgrade to upgrade): ndg-httpsclient in /Library/Python/2.7/site-packages Requirement already satisfied (use --upgrade to upgrade): pyasn1 in /Library/Python/2.7/site-packages

但代码仍然下降。

无论如何，我发现在 Python3 中一切顺利，我很高兴能够在 Python3 中编写代码。
非常感谢。

遵循上述说明，但仍然遇到此问题

``` Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

有任何想法吗？
``````

@rohanpai您可能没有密码重叠，或者远程服务器对您提供的版本不满意，或者您希望提供客户端证书而不是。 很难给出更具体的建议。 试试这个来调查这个问题。

在 ubuntu 14.04LTS 上，我需要这样做：

sudo pip install ndg-httpsclient pyasn1 --upgrade

请注意，在 Ubuntu 中，无法升级/删除pyopenssl ，因为它归操作系统所有。

Markstrefford 的解决方案在 mac os sierra 上也适用于我

@markstrefford的解决方案也对我有用。

对于使用 OpenSSL 1.1 的任何人，请注意：
当远程服务器提供椭圆曲线作为第一个选项时，即使强制使用 TLS 适配器，您也会遇到此问题。
原因是： http ://bugs.python.org/issue29697

大家好！ 以下服务器https://34.200.105.231/SID/Service.svc?wsdl遇到了同样的问题。 我已经尝试了所有方法，并且跳出了相同的 2 个错误：

• requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)
• requests.exceptions.SSLError: EOF occurred in violation of protocol (_ssl.c:661)

有任何想法吗？ @Lukasa ，我看到证书有一些问题，但似乎应该没那么糟糕： https ://sslanalyzer.comodoca.com/?url=34.200.105.231

证书通常不会导致这个问题：这个问题是由服务器挂在我们身上引起的，所以通常是密码套件不匹配的结果。 在这种情况下，这正是您在此处看到的情况。

坦率地说，这是一个永远不应该暴露在开放互联网上的服务器。 没有与此服务器通信的安全方法：无，零。 这就是握手失败的原因：请求仅接受现代密码套件，并且此服务器没有可用的现代密码套件。 最好的选项是TLS_RSA_WITH_3DES_EDE_CBC_SHA ，我们删除了这个选项，因为它容易受到大规模数据传输的实际攻击。

如果此服务器是您的，请将其升级到更好的 TLS 实施或更改设置。 否则，我的第一个建议是重新考虑与该服务器交谈。 如果必须，那么您可以使用此处的代码，但我强烈建议您向服务器操作员施加压力以解决此问题。

@Lukasa - 感谢您与大家一起解决这个问题！ 我已经阅读并尝试了大部分内容

问题

在 Windows 上运行脚本时，一切正常。
在 OSX 上运行脚本时收到：

raise SSLError(e, request=request)
requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)

我不相信它不是服务器本身，但希望能提供任何额外的帮助来确认和/或将我从这个兔子洞中弹出。 让它发挥作用将是一个巨大的胜利。

OSX 细节：

• Python Python 2.7.10
• OpenSSL OpenSSL 1.1.1-dev xx XXX xxxx（通过 GitHub 编译）
• 使用 PIP 安装

所做的尝试

• 卸载 pyopenssl，请求，请求 [安全]，密码学
• 针对env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install --force-reinstall --no-cache-dir {PACKAGE}安装

我不是 100% 确定针对 openssl 安装实际上做了什么，因为它的行为似乎与没有安装相同（例如，速度和消息传递都看起来相同）

按照另一个线程（上面）的指示，直接通过 openSSL appears连接是否满意？

openssl s_client -connect XXX.102.7.147:443
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 198 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1493384325
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---

呃……OpenSSL 在技术上是好的，但是 OpenSSL 没有协商密码（也就是说，它似乎已经协商SSL_NULL_WITH_NULL_NULL 。你可以对你的服务器运行 ssllabs 并检查它支持哪些密码套件吗？

@Lukasa它没有在互联网上公开，是否有一些我可以启动的命令行探针可以为您提供足够的洞察力？

你可以试试cipherscan 。

@Lukasa安装了它......它的行为很不稳定（没有输出，看着它）......如果我想出任何可以传递的东西，它会回复。 谢谢指导！

@Lukasa非常感谢您的帮助-实际上从未使 cipherscan 工作-但纠正了我们的问题。 它与任何这些都没有关系，而且是我们环境中的一个愚蠢的 IP 不匹配......吸取了教训！ 谢谢 ...

完全没问题，很高兴你把它整理好了！

streamlink -l debug h ttpstream://https ://www.arconaitv.us/stream.php?id= 43最差
[cli][info] streamlink 正在以 root 身份运行！ 当心！
[cli][debug] 操作系统：Linux-4.14.0-041400-generic-x86_64-with-Ubuntu-14.04-trusty
[cli][调试] Python：2.7.6
[cli][debug] 流链接：0.13.0+27.g2ff314c
[cli][debug] 请求（2.19.1），袜子（1.6.7），Websocket（0.48.0）
[cli][info] 为 URL h ttpstream://https : //www.arconaitv.us/stream.php ?id=43 找到匹配的插件 http
[plugin.http][debug] URL= https://www.arconaitv.us/stream.php?id=43; 参数={}
[cli][info] 可用流：直播（最差，最好）
[cli][info] 开场直播：直播 (http)
[cli][debug] 预缓冲 8192 字节
[cli][info] 起始播放器：/usr/bin/vlc
[cli][debug] 将流写入输出
[cli][info] 直播结束
[cli][info] 关闭当前打开的流..

试过但没有运气

atlast 让它在本地电脑上运行 tvplayer。 我在本地电脑上安装了 tinyproxy，但在 vps httpproxy xxxx 中无法正常工作。
tinyproxy 可以吗，或者我需要在我的本地电脑上安装一些其他代理服务器。

tinyproxy.txt

嗨@maanich ，这似乎与这个问题没有直接关系，或者是这个问题跟踪器保留的请求的缺陷报告。 如果您对系统配置有疑问，最好在StackOverflow等平台上解决这些问题。 谢谢！

streamlink --https-proxy " http://8xxxx :8000/" --tvplayer-email [email protected] --tvplayer-password vcvdf3 --http-no-ssl-verify https://tvplayer.com/watch /itv最佳 --player-no-close --stdout | /var/tmp/youtube/ffmpeg -y -i pipe:0 -vcodec copy -acodec copy -flags -global_header -hls_flags delete_segments -hls_time 10 -hls_list_size 6 /mnt/hls/arc.m3u8
ffmpeg 版本 4.0-static https://johnvansickle.com/ffmpeg/版权所有 (c) 2000-2018 FFmpeg 开发者
使用 gcc 6.3.0 (Debian 6.3.0-18+deb9u1) 20170516 构建
配置： --enable-gpl --enable-version3 --enable-static --disable-debug --disable-ffplay --disable-indev=sndio --disable-outdev=sndio --cc=gcc-6 -- enable-libxml2 --enable-fontconfig --enable-frei0r --enable-gnutls --enable-gray --enable-libaom --enable-libfribidi --enable-libass --enable-libfreetype --enable-libmp3lame -- enable-libopencore-amrnb --enable-libopencore-amrwb --enable-libopenjpeg --enable-librubberband --enable-libsoxr --enable-libspeex --enable-libvorbis --enable-libopus --enable-libtheora --enable -libvidstab --enable-libvo-amrwbenc --enable-libvpx --enable-libwebp --enable-libx264 --enable-libx265 --enable-libxml2 --enable-libxvid --enable-libzimg
libavutil 56. 14.100 / 56. 14.100
libavcodec 58. 18.100 / 58. 18.100
libavformat 58. 12.100 / 58. 12.100
libav 设备 58. 3.100 / 58. 3.100
libavfilter 7. 16.100 / 7. 16.100
libswscale 5. 1.100 / 5. 1.100
libswresample 3. 1.100 / 3. 1.100
libpostproc 55. 1.100 / 55. 1.100
[console][info] streamlink 正在以 root 身份运行！ 当心！
[console][info] 找到 URL https://tvplayer.com/watch/itv的匹配插件 tvplayer
错误：无法打开URL： https://live.tvplayer.com/stream.m3u8?id=204&Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cCo6XC9cL2xpdmUudHZwbGF5ZXIuY29tXC9zdHJlYW0ubTN1OD9pZD0yMDQiLCJDb25kaXRpb24iOnsiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE1MjkwNTc0OTR9LCJJcEFkZHJlc3MiOnsiQVdTOlNvdXJjZUlwIjoiNjIuMjEwLjE0Mi42NlwvMzIifX19XX0_&Signature=mHOteYcUu4QsbGD n0e〜7meDUGT8VN7bVOBAHa-0Mk6ROA9XHYx3aIAZMAo3dFjOGuWk-3MszJzRFHdv〜-CCsmX3D8XQa2zvzfuIWfMAT〜yDshroXBN25iW6ZJ0-7lGla00jMTUpm5sW-uDy18OkiBWgGvDVas2Lz-EW〜5 LTw2YWvEpqkvRB9OpcsHJj9RRQLuDVjwYKXwKvHTJmB1J ~sGE3aigaL7AZyBaIAUMcpk-xYMpDuPV9BsBN9AT397lFfRPFt155u~yeBHZ4JlUN2GINUBt0-CzGuYVq3dsO kYYEZJo9cQTVhArpo7ek03VbDP5egtCM8obN63AEkA__&Key-Pair-Id=APKAJGWDVCU5SXAPJELQ（403客户端错误：
pipe:0 : 处理输入时发现无效数据

请建议n什么代理服务器对streamlink有好处（如果有的话）