Malheureusement, cela n'a rien à voir avec le problème que vous avez identifié, et entièrement à l'OpenSSL merdique fourni par OS X par défaut. La version 0.9.8y a de vrais problèmes avec l'exécution des poignées de main SSL, et certains serveurs ne le tolèrent pas bien. L'utilisation de Python 3 sur ma boîte OS X (donc en utilisant un OpenSSL plus récent) révèle qu'il n'y a pas de problème.

Vous avez deux options :

1. Installez OpenSSL depuis Homebrew, puis installez une nouvelle version de Python 2 depuis Homebrew qui se liera automatiquement à OpenSSL fourni par Homebrew.
2. Installez OpenSSL depuis Homebrew, puis installez PyOpenSSL sur cette nouvelle version en exécutant env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install PyOpenSSL .

Ah, on dirait que je suivais un hareng rouge alors - je ne prévois pas de déployer quoi que ce soit sur OSX de toute façon. On dirait que je vais déplacer mes tests vers une virtualbox Linux. Désolé pour ce problème de longue haleine !

Pas besoin de s'excuser, poser cette question était la bonne chose à faire : c'est bizarrement une connaissance spécifique de savoir qu'OS X a ce problème. =)

Ok, c'est une déception. J'ai créé une image Virtualbox 32 bits du serveur Ubuntu 14.04 via Vagrant et tout cela se produit toujours, sauf pour le cas SSLv2, où il échoue car le protocole n'est pas inclus dans la version OpenSSL d'Ubuntu 14.04 (par conception, je crois - SSLv2 est vieux et obsolète).

Versions :
Ubuntu 14.04 32 bits (via la combinaison Vagrant/Virtualbox)
Python 2.7.6
demandes==2.2.1
demandes-toolbelt==0.2.0
urllib3==1.8.2

EDIT : j'ai oublié la version d'OpenSSL...

python -c "importer ssl; imprimer ssl.OPENSSL_VERSION"
OpenSSL 1.0.1f 6 janvier 2014

TLSv1 :

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('TLSv1')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv2 :

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv3')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv23 :

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv23')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

Peut-être s'agit-il alors d'un problème de liste de chiffrement ? Ou la version OpenSSL utilisée ici est-elle toujours problématique ?

Je suis absolument disposé à consacrer du temps pour aider à déboguer cela si nécessaire... à condition que vous me donniez des instructions.

La machine virtuelle est en cours de téléchargement. Je ne peux pas reproduire cela sur ArchLinux.
Les stacktraces l'indiquent mais j'aimerais en être sûr : vous n'utilisez _pas_ PyOpenSSL mais uniquement la stdlib ?

@ t-8ch Merci d'avoir jeté un coup d'œil à cela, je suis un peu confus. OpenSSL me rend la vie vraiment difficile =(

@t-8ch Je n'ai pas installé PyOpenSSL si c'est ce que vous demandez ?

J'aurais supposé (peut-être à tort) que pip install requests devrait me donner tout ce dont j'ai besoin pour appeler avec succès requests.get('...') sur une page HTTPS. Ce qui, bien sûr, fonctionne pour la plupart, mais pas pour ce site porno pour une raison quelconque.

@jaddison C'est _surtout_ le cas. Malheureusement, la bibliothèque standard de Python 2.7 est nulle et ne prend pas en charge certaines fonctionnalités, telles que SNI.

Je me demande si c'est SNI...

@jaddison Il existe deux chemins de code différents dans les coulisses. Vous ne devriez pas avoir à vous en soucier, mais cela aide à savoir quand déboguer.

Cependant, je peux maintenant reproduire cela sur Ubuntu. Mais seulement sur Py2. Sur Py3 tout va bien.
Je soupçonne que @Lukasa a raison et que le serveur échoue lorsque le client n'utilise pas SNI.

Cela me dérange qu'une absence de SNI échoue de plusieurs manières différentes selon le serveur en question.

J'ai remarqué ce changement entre OpenSSL 1.0.1f et 1.0.1g (https://www.openssl.org/news/openssl-1.0.1-notes.html):

Add TLS padding extension workaround for broken servers.

EDIT : Ahh, tant pis - le bogue ne devrait pas varier entre Py 2 et 3, je pense.

@jaddison Pour tester s'il s'agit de SNI, vous devez installer les exigences SNI pour Python 2.

@Lukasa avait raison. Comparer:

$ openssl s_client -connect docs.apitools.com:443                              
CONNECTED(00000003)
139846853338768:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:762:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 517 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

$  openssl s_client -connect docs.apitools.com:443 -servername docs.apitools.com
... happy handshake here

Pour élaborer : la deuxième commande active la fonctionnalité SNI de openssl s_client .

Vous pouvez a) passer à python3 b) installer des dépendances supplémentaires.
La stdlib n'a pour le moment aucun moyen de faire du SNI.

Merci pour les commentaires rapides. Vu qu'il n'y a pas de bug, je vais fermer ça... encore une fois.

Hé, merci les gars !! J'ai installé python3 sur mon mac et boum, ça marche.

Je veux juste intervenir et dire que j'ai rencontré ce problème sur OS X 10.9.5, Python 2.7.7 et OpenSSL 0.9.8zc.

J'ai pu résoudre mon problème d'établissement de liaison en :

1. Installation d'un OpenSSL plus récent que le stock sur ma machine via brew install OpenSSL
2. Compilation et installation du package cryptography lié au nouveau OpenSSL ( env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install cryptography )
3. Installation des requêtes avec le support SNI en faisant pip install requests[security]

Merci, @Microserf. J'utilise à peu près les mêmes spécifications (10.9.5, Python 2.7.6 installé via Homebrew mais compilé avec le système fourni OpenSSL 0.9.8zg) et c'était tout mon processus pour obtenir requests opérationnel pour Django :

brew install openssl

Installez requests avec un tas de trucs SNI , compilés avec notre nouvelle installation d'OpenSSL. L'option [security] installe simplement pyopenssl ndg-httpsclient pyasn1

env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install requests[security] urllib3

Et nous sommes prêts à partir :

"""
This may or may not be needed. See:
https://urllib3.readthedocs.org/en/latest/security.html#openssl-pyopenssl
"""
# from urllib3.contrib import pyopenssl
# pyopenssl.inject_into_urllib3()

import requests
# r = requests.get(...)

Existe-t-il une réponse définitive sur la façon de faire fonctionner cela sur Ubuntu? Je rencontre ce problème, et il semble que la seule réponse ici concerne la façon de faire fonctionner cela sur un Mac. La mise à niveau de toute notre base de code vers Python 3 n'est pas une option.

OK, je viens peut-être de répondre à ma propre question. Ce que j'ai fait se résume à :

sudo apt-get install libffi-dev
pip install pyOpenSSL ndg-httpsclient pyasn1

@lsemel merci, ça m'a juste fait gagner beaucoup de temps

@lsemel Êtes-vous sûr? Je l'ai essayé sur Ubuntu 15.10 et cela ne fonctionne toujours pas avec Python 2.7.10.

Cela fonctionne avec Python 2.7 sur Travis CI :
https://travis-ci.org/playing-se/swish-python

Ça marche maintenant ! J'ai simplement désinstallé pyOpenSSL :
pip uninstall pyOpenSSL

Peut-être devrions-nous seulement pyopenssl.inject_into_urllib3() si la version de Python est inférieure à 2.7.9 ? pyOpenSSL semble casser des trucs sur Ubuntu et Windows si la version Python est 2.7.10.

PyOpenSSL ne devrait rien casser. Si c'est le cas, c'est un bogue qui doit être signalé.

Je vais devoir me pencher là-dessus, mais y a-t-il une bonne raison d'injecter pyopenssl dans urllib3 si la version Python est 2.7.9 ou plus récente ?

Je pense à quelque chose comme ça :

# Check if Modern SSL with SNI support
try:
    from ssl import SSLContext
    from ssl import HAS_SNI
except ImportError:
    # Attempt to enable urllib3's SNI support, if possible
    try:
        from .packages.urllib3.contrib import pyopenssl
        pyopenssl.inject_into_urllib3()
    except ImportError:
        pass

Oui, il y en a souvent. Par exemple, sur OS X, la plupart des Pythons sont liés au système OpenSSL, qui est la version 0.9.8zg. PyOpenSSL, cependant, sera lié à un OpenSSL beaucoup plus récent (1.0.2). Cela fait de l'utilisation de PyOpenSSL une amélioration substantielle de la sécurité.

De plus, PyOpenSSL nous donne un bien meilleur accès à OpenSSL, nous permettant de le sécuriser plus efficacement.

OK, j'ai un peu joué avec ça maintenant.

Cela FONCTIONNE avec pyopenssl MAIS pas si ndg-httpsclient est installé.

Cependant, je peux le faire fonctionner avec ndg-httpsclient si je désinstalle pyasn1 en me donnant ces avertissements :

/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/ssl_peer_verification.py:25: UserWarning: SubjectAltName support is disabled - check pyasn1 package installation to enable
  warnings.warn(SUBJ_ALT_NAME_SUPPORT_MSG)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)

Même comportement sur Ubuntu 15.10 et Windows 10 avec Python 2.7.10 installé.

En effet, sans ndg-httpsclient, le support PyOpenSSL n'est pas utilisé.

Oui, je devrai creuser pourquoi cela fonctionne si SubjectAltName est désactivé. Une idée?

Le problème est presque certainement que vous utilisez différents OpenSSL dans chaque cas.

J'ai eu le même problème sur ma boîte Ubuntu 14.04 et Python 2.7.11

C'est du SNI

Ce qui a fonctionné pour moi était ceci:

• demandes de désinstallation
• désinstaller urllib3
• installer les différentes dépendances cryptographiques
• installer URLlib3
• installez urllib3[secure] # juste pour être sûr
• demandes d'installation

Je pense qu'il y avait une vérification du temps d'installation sur urllib3 ou des demandes qui empêchaient les choses de fonctionner sans la désinstallation

@jvanasco qu'est-ce que vous utilisez pour installer ces packages ? Je suppose pip. Pourquoi installez-vous urllib3 et les requêtes séparément ?

Eh bien, j'avais besoin d'urllib3 dans le virtualenv ... mais je l'ai installé pour essayer d'obtenir les exigences installées par pip et easy_install. (j'ai utilisé les deux)

J'ai un indexeur Web et quelques URL se sont cassées. J'ai écrit un script rapide pour essayer ceux qui étaient cassés, et j'ai continué à réinstaller/supprimer+installer les packages dans les instructions urllib3 sur les problèmes SSL jusqu'à ce qu'ils fonctionnent.

Le 31 mai 2016, à 19h25, Ian Cordasco [email protected] a écrit :

@jvanasco qu'est-ce que vous utilisez pour installer ces packages ? Je suppose pip. Pourquoi installez-vous urllib3 et les requêtes séparément ?

—
Vous recevez ceci parce que vous avez été mentionné.
Répondez directement à cet e-mail, consultez-le sur GitHub ou désactivez le fil de discussion.

Je vois toujours ce problème et j'ai essayé les solutions de contournement suggérées.
J'ai mis à jour ma version python vers 2.7.11
J'ai installé les 3 packages supplémentaires.

J'ai essayé la séquence de désinstallation/installation suggérée par @jvanasco et j'ai toujours l'erreur SSLError
En utilisant également Ubuntu 14.04, malheureusement, il n'y a pas de mise à jour OpenSSL, je dois donc utiliser les solutions de contournement publiées ici et je n'ai pas de chance.

Des mesures supplémentaires que vous avez éventuellement prises ?

Merci

@Lekinho J'ai trouvé que faire un court script de test qui testait le domaine avec lequel j'avais des problèmes m'aidait.

c'était juste:

 import requests
 r = requests.get(bad_url)
 print r.__dict__

@Lekinho Vous pouvez extraire pyopenssl des requêtes de votre code :

try:
    from requests.packages.urllib3.contrib import pyopenssl
    pyopenssl.extract_from_urllib3()
except ImportError:
    pass

@Lekinho Si vous rencontrez toujours ce problème avec Python 2.7.11, il est fort probable que le serveur distant ne prenne pas en charge les paramètres TLS utilisés par les requêtes. Le serveur en question est-il disponible sur l'internet public ? Si oui, pouvez-vous me fournir l'URL ?

J'ai essayé l'importation pyopenssl comme suggéré.
Malheureusement, ce n'est pas accessible publiquement.
Cependant, j'ai les détails exacts de la version openSSL du serveur.
En gros, on tourne sur une machine virtuelle redhat, j'avais cet openSSL quand tout fonctionnait : openssl-1.0.1e-42.el6_7.4.x86_64

Puis nous avons fait une mise à jour redhat et il y a eu une mise à jour pour openssl : openssl-1.0.1e-48.el6_8.1.x86_64

Cette version a toujours le problème de mauvaise poignée de main lors de l'utilisation d'openssl sur Ubuntu 14.04.

Avez-vous des URL publiques avec lesquelles je peux essayer, pour voir si les solutions de contournement ont aidé à résoudre le problème et c'est juste cette combinaison unique que j'ai qui est le problème ?

La même machine fonctionne bien lorsque les requêtes REST sont envoyées via le navigateur (c'est-à-dire sans ubuntu openssl )

Merci

Pouvez-vous fournir la sortie de rpm -q --changelog openssl , s'il vous plaît ?

[ admin@leke-2-2-8-11 ~]$ rpm -q --changelog openssl

• Lun 02 mai 2016 Tomáš Mráz [email protected] 1.0.1e-48.1
• correction CVE-2016-2105 - débordement possible dans l'encodage base64
• correction CVE-2016-2106 - débordement possible dans EVP_EncryptUpdate()
• correction CVE-2016-2107 - oracle de rembourrage dans AES-NI CBC-MAC cousu
• correction CVE-2016-2108 - corruption de mémoire dans l'encodeur ASN.1
• correction CVE-2016-2109 - DoS possible lors de la lecture des données ASN.1 de BIO
• correction CVE-2016-0799 - problèmes de mémoire dans BIO_printf
• Mer 24 février 2016 Tomáš Mráz [email protected] 1.0.1e-48
• correction CVE-2016-0702 - attaque par canal latéral sur l'exponentiation modulaire
• correction CVE-2016-0705 - double-free dans l'analyse de clé privée DSA
• correction CVE-2016-0797 - corruption de tas dans BN_hex2bn et BN_dec2bn
• Mar 16 février 2016 Tomáš Mráz [email protected] 1.0.1e-47
• correction CVE-2015-3197 - Application de la suite de chiffrement SSLv2
• désactiver SSLv2 dans la méthode TLS générique
• Ven 15 janvier 2016 Tomáš Mráz [email protected] 1.0.1e-46
• correction d'une fuite de mémoire de 1 octet dans l'analyse pkcs12 (#1229871)
• documenter quelques options de la commande speed (#1197095)
• Jeu 14 janvier 2016 Tomáš Mráz [email protected] 1.0.1e-45
• corriger les horodatages de haute précision dans l'autorité d'horodatage
• Lun 21 décembre 2015 Tomáš Mráz [email protected] 1.0.1e-44
• correction CVE-2015-7575 - interdire l'utilisation de MD5 dans TLS1.2
• Ven 04 décembre 2015 Tomáš Mráz [email protected] 1.0.1e-43
• correction CVE-2015-3194 - crash de vérification de certificat avec paramètre PSS manquant
• correction CVE-2015-3195 - Fuite de mémoire X509_ATTRIBUTE
• correction CVE-2015-3196 - condition de concurrence lors de la gestion de l'indice d'identité PSK
• Mar 23 juin 2015 Tomáš Mráz [email protected] 1.0.1e-42
• correction de la régression causée par une erreur dans le correctif pour CVE-2015-1791
• Jeu 11 juin 2015 Tomáš Mráz [email protected] 1.0.1e-41
• correctif amélioré pour CVE-2015-1791
• ajouter les parties manquantes du correctif CVE-2015-0209 pour la correction bien qu'inexploitable
• Mar 09 juin 2015 Tomáš Mráz [email protected] 1.0.1e-40
• correction CVE-2014-8176 - gratuit non valide dans le code de mise en mémoire tampon DTLS
• correction de CVE-2015-1789 - lecture hors limites dans X509_cmp_time
• correction de CVE-2015-1790 - Crash de PKCS7 avec contenu chiffré manquant
• correction CVE-2015-1791 - gestion des conditions de concurrence NewSessionTicket
• correction CVE-2015-1792 - Le CMS vérifie une boucle infinie avec une fonction de hachage inconnue
• Mar 02 juin 2015 Tomáš Mráz [email protected] 1.0.1e-39
• correction CVE-2015-3216 - régression dans le verrouillage RAND pouvant provoquer des erreurs de segmentation sur
  lire dans les applications multithread
• Lun 25 mai 2015 Tomáš Mráz [email protected] 1.0.1e-38
• correction CVE-2015-4000 - empêche l'attaque par blocage sur le client - limite
  la taille de la clé DH à au moins 768 bits (la limite sera augmentée à l'avenir)
• Mer 25 mars 2015 Tomáš Mráz [email protected] 1.0.1e-37
• supprimez la restriction AES-GCM de 2 ^ 32 opérations car le IV est
  toujours 96 bits (champ fixe 32 bits + champ d'invocation 64 bits)
• Jeu 19 mars 2015 Tomáš Mráz [email protected] 1.0.1e-36
• correctif de mise à jour pour CVE-2015-0287 vers ce qui a été publié en amont
• Mer 18 mars 2015 Tomáš Mráz [email protected] 1.0.1e-35
• correction CVE-2015-0209 - utilisation potentielle après la libération dans d2i_ECPrivateKey()
• correction CVE-2015-0286 - mauvaise gestion de la comparaison booléenne ASN.1
• correction CVE-2015-0287 - Corruption de la mémoire de décodage de la réutilisation de la structure ASN.1
• correction de CVE-2015-0288 - X509_to_X509_REQ NULL pointer dereference
• correction de CVE-2015-0289 - Déréférence NULL décodant des données PKCS#7 invalides
• correction de CVE-2015-0292 - sous-dépassement d'entier dans le décodeur base64
• correction CVE-2015-0293 - assert déclenchable dans le serveur SSLv2
• Mar 03 mars 2015 Tomáš Mráz [email protected] 1.0.1e-34
• copier l'algorithme de résumé lors de la gestion du changement de contexte SNI
• améliorer la documentation des suites de chiffrement - patch par Hubert Kario
• ajouter la prise en charge de la configuration du service Kerberos et du keytab dans
  s_server et s_client
• Mar 13 janvier 2015 Tomáš Mráz [email protected] 1.0.1e-33
• correction CVE-2014-3570 - calcul incorrect dans BN_sqr()
• correction CVE-2014-3571 - plantage possible dans dtls1_get_record()
• correction CVE-2014-3572 - rétrogradation possible de la suite de chiffrement ECDH vers un état non-PFS
• correction de CVE-2014-8275 - divers problèmes d'empreintes digitales de certificat
• correction CVE-2015-0204 - suppression de la prise en charge des clés éphémères RSA pour la non-exportation
  suites de chiffrement et sur serveur
• correction CVE-2015-0205 - ne pas autoriser le certificat DH client non authentifié
• correction CVE-2015-0206 - fuite de mémoire possible lors de la mise en mémoire tampon des enregistrements DTLS
• Jeu 16 octobre 2014 Tomáš Mráz [email protected] 1.0.1e-32
• utiliser la méthode approuvée par la FIPS pour le calcul de d dans RSA
• Mer 15 octobre 2014 Tomáš Mráz [email protected] 1.0.1e-31
• correction CVE-2014-3567 - fuite de mémoire lors de la gestion des tickets de session
• correction CVE-2014-3513 - fuite de mémoire dans le support srtp
• ajouter la prise en charge du SCSV de secours pour atténuer partiellement CVE-2014-3566
  (attaque de remplissage sur SSL3)
• Ven 15 août 2014 Tomáš Mráz [email protected] 1.0.1e-30
• ajouter les extensions ECC TLS à DTLS (#1119800)
• Ven 08 août 2014 Tomáš Mráz [email protected] 1.0.1e-29
• correction CVE-2014-3505 - doublefree dans le traitement des paquets DTLS
• correction CVE-2014-3506 - évite l'épuisement de la mémoire dans DTLS
• correction CVE-2014-3507 - évite les fuites de mémoire dans DTLS
• correction CVE-2014-3508 - correction de la gestion des OID pour éviter les fuites d'informations
• correction CVE-2014-3509 - correction de la condition de concurrence lors de l'analyse du serveur hello
• correction CVE-2014-3510 - correction DoS dans la gestion anonyme (EC) DH dans DTLS
• correction CVE-2014-3511 - interdire la rétrogradation du protocole via la fragmentation
• Lun 16 juin 2014 Tomáš Mráz [email protected] 1.0.1e-28
• correction du correctif CVE-2014-0224 qui a interrompu la prise en charge de la reprise de session EAP-FAST
• Ven 06 juin 2014 Tomáš Mráz [email protected] 1.0.1e-26
• supprimer EXPORT, RC2 et DES de la liste de chiffrement par défaut (#1057520)
• imprimer la taille de la clé éphémère négociée dans la poignée de main TLS (#1057715)
• ne pas inclure les suites de chiffrement ECC dans le client SSLv2 hello (#1090952)
• détecter correctement l'échec de chiffrement dans BIO (#1100819)
• échec du contrôle d'intégrité hmac si le fichier .hmac est vide (#1105567)
• Mode FIPS : limiter les keygen DSA, DH et RSA
  longueur appliquée uniquement si environnement OPENSSL_ENFORCE_MODULUS_BITS
  variable est définie
• Lun 02 juin 2014 Tomáš Mráz [email protected] 1.0.1e-25
• correction CVE-2010-5298 - utilisation possible de la mémoire après libération
• correction CVE-2014-0195 - débordement de tampon via un fragment DTLS invalide
• correction de CVE-2014-0198 - déréférencement possible du pointeur NULL
• correction de CVE-2014-0221 - DoS à partir d'un paquet de prise de contact DTLS invalide
• correction CVE-2014-0224 - Vulnérabilité SSL/TLS MITM
• correction CVE-2014-3470 - DoS côté client lors de l'utilisation d'ECDH anonyme
• Jeu 22 mai 2014 Tomáš Mráz [email protected] 1.0.1e-24
• ajouter le support pour la courbe EC secp521r1
• Lun 07 avril 2014 Tomáš Mráz [email protected] 1.0.1e-23
• correction CVE-2014-0160 - divulgation d'informations dans l'extension de pulsation TLS
• Lun 17 mars 2014 Tomáš Mráz [email protected] 1.0.1e-22
• utiliser la clé RSA 2048 bits dans les autotests FIPS
• Mer 19 février 2014 Tomáš Mráz [email protected] 1.0.1e-21
• ajouter DH_compute_key_padded nécessaire pour les tests FIPS CAVS
• rendre la force 3des à 128 bits au lieu de 168 (#1056616)
• Mode FIPS : ne génère pas de clés DSA et de paramètres DH < 2048 bits
• Mode FIPS : utilisez le keygen RSA approuvé (autorise uniquement les clés 2048 et 3072 bits)
• Mode FIPS : ajouter l'autotest DH
• Mode FIPS : réamorce correctement DRBG sur RAND_add()
• Mode FIPS : ajouter l'autotest de chiffrement/déchiffrement RSA
• Mode FIPS : ajouter une limite stricte pour les cryptages de bloc 2^32 GCM avec la même clé
• utiliser la longueur de clé du fichier de configuration si req -newkey rsa est invoqué
• Mar 07 janvier 2014 Tomáš Mráz [email protected] 1.0.1e-20
• correction CVE-2013-4353 - Crash de poignée de main TLS non valide
• Lun 06 janvier 2014 Tomáš Mráz [email protected] 1.0.1e-19
• correction CVE-2013-6450 - possible attaque MiTM sur DTLS1
• Ven 20 décembre 2013 Tomáš Mráz [email protected] 1.0.1e-18
• correction CVE-2013-6449 - plantage lorsque la version dans la structure SSL est incorrecte
• Jeu 12 décembre 2013 Tomáš Mráz [email protected] 1.0.1e-17
• rajouter des symboles no-op qui ont été supprimés par inadvertance
• Jeu 31 octobre 2013 Tomáš Mráz [email protected] 1.0.1e-16
• n'annoncez pas les courbes ECC que nous ne prenons pas en charge
• correction de l'identification du processeur sur les processeurs Cyrix
• Ven 27 septembre 2013 Tomáš Mráz [email protected] 1.0.1e-15
• faire fonctionner DTLS1 en mode FIPS
• éviter RSA et DSA 512 bits et Whirlpool en 'openssl speed' en mode FIPS
• Jeu 26 septembre 2013 Tomáš Mráz [email protected] 1.0.1e-14
• l'installation de dracut-fips indique que le module FIPS est installé
• Lun 23 septembre 2013 Tomáš Mráz [email protected] 1.0.1e-13
• éviter de supprimer libssl.so de libcrypto
• Ven 20 septembre 2013 Tomáš Mráz [email protected] 1.0.1e-12
• correction d'une petite fuite de mémoire dans l'autotest FIPS aes
• correction de l'erreur de segmentation dans openssl speed hmac en mode FIPS
• Jeu 12 septembre 2013 Tomáš Mráz [email protected] 1.0.1e-11
• documenter l'option nextprotoneg dans les pages de manuel
  patch original par Hubert Kario
• Jeu 29 août 2013 Tomas Mraz [email protected] 1.0.1e-9
• toujours effectuer les autotests FIPS dans le constructeur de la bibliothèque
  si le module FIPS est installé
• Ven 16 août 2013 Tomas Mraz [email protected] 1.0.1e-8
• corriger l'utilisation de rdrand si disponible
• plus de commits choisis en amont
• correctifs de la documentation
• Ven 26 juillet 2013 Tomas Mraz [email protected] 1.0.1e-7
• correction de page de manuel supplémentaire
• utiliser la gestion des versions de symboles également pour la version textuelle
• Jeu 25 juillet 2013 Tomas Mraz [email protected] 1.0.1e-6
• corrections de pages de manuel supplémentaires
• sortie de commande de vitesse de nettoyage pour ECDH ECDSA
• Ven 19 juillet 2013 Tomas Mraz [email protected] 1.0.1e-5
• utiliser la macro _prefix
• Mer 10 juillet 2013 Tomas Mraz [email protected] 1.0.1e-4
• ajouter un drapeau de liaison relro
• Mer 10 juillet 2013 Tomas Mraz [email protected] 1.0.1e-2
• ajouter la prise en charge de l'option -trusted_first pour la vérification de la chaîne de certificats
• Ven 31 mai 2013 Tomas Mraz [email protected] 1.0.1e-1
• rebase vers la version amont 1.0.1e
• Lun 25 février 2013 Tomas Mraz [email protected] 1.0.0-28
• correctif pour CVE-2013-0169 - Attaque de synchronisation SSL/TLS CBC (#907589)
• correctif pour CVE-2013-0166 - DoS dans la vérification des signatures OCSP (#908052)
• activer la compression uniquement si elle est explicitement demandée ou OPENSSL_DEFAULT_ZLIB
  la variable d'environnement est définie (corrige CVE-2012-4929 #857051)
• utilisez __secure_getenv() partout au lieu de getenv() (#839735)
• Ven 12 octobre 2012 Tomas Mraz [email protected] 1.0.0-27
• correction de la référence sslrand(1) et sslpasswd(1) dans la page de manuel openssl(1) (#841645)
• supprimer la correction lib64 superflue dans les fichiers pkgconfig .pc (#770872)
• forcer BIO_accept_new(* :) pour écouter sur IPv4
• Mer 15 août 2012 Tomas Mraz [email protected] 1.0.0-26
• utiliser PKCS # 8 lors de l'écriture de clés privées en mode FIPS comme l'ancien
  Le mode de cryptage PEM n'est pas compatible FIPS (#812348)
• Mar 15 mai 2012 Tomas Mraz [email protected] 1.0.0-25
• correctif pour CVE-2012-2333 - vérification incorrecte de la longueur d'enregistrement dans DTLS (#820686)
• initialiser correctement tkeylen dans le correctif CVE-2012-0884
• Jeu 19 avril 2012 Tomas Mraz [email protected] 1.0.0-24
• correctif pour CVE-2012-2110 - corruption de mémoire dans asn1_d2i_read_bio() (#814185)
• Lun 19 mars 2012 Tomas Mraz [email protected] 1.0.0-23
• correction d'un problème avec le correctif de redémarrage du SGC qui pourrait mettre fin à la poignée de main
  incorrectement
• correctif pour CVE-2012-0884 - Faiblesse MMA dans le code CMS et PKCS#7 (#802725)
• correctif pour CVE-2012-1165 - Déréférencement de lecture NULL sur les en-têtes MIME incorrects (#802489)
• Jeu 01 mars 2012 Tomas Mraz [email protected] 1.0.0-22
• correction du cryptage incorrect des morceaux non alignés dans les modes CFB, OFB et CTR
• Jeu 19 janvier 2012 Tomas Mraz [email protected] 1.0.0-21
• correctif pour CVE-2011-4108 et CVE-2012-0050 - Récupération de texte en clair DTLS
  vulnérabilité et correctifs DTLS supplémentaires (#771770)
• correctif pour CVE-2011-4576 - remplissage SSL 3.0 non initialisé (#771775)
• correctif pour CVE-2011-4577 - DoS possible via des données RFC 3779 malformées (#771778)
• correctif pour CVE-2011-4619 - SGC redémarre l'attaque DoS (#771780)
• Lun 31 octobre 2011 Tomas Mraz [email protected] 1.0.0-20
• correction de x86cpuid.pl - correctif par Paolo Bonzini
• Jeu 29 septembre 2011 Tomas Mraz [email protected] 1.0.0-19
• ajouter un test de réponse connue pour les algorithmes SHA2
• Mer 21 septembre 2011 Tomas Mraz [email protected] 1.0.0-18
• correction de l'initialisation manquante d'une variable dans le moteur CHIL (#740188)
• Lundi 12 septembre 2011 Tomas Mraz [email protected] 1.0.0-17
• initialiser le X509_STORE_CTX correctement pour les recherches CRL - CVE-2011-3207
  (#736087)
• Mer 24 août 2011 Tomas Mraz [email protected] 1.0.0-16
• fusionner les optimisations pour AES-NI, SHA1 et RC4 de l'intelx
  moteur aux implémentations internes
• Lundi 15 août 2011 Tomas Mraz [email protected] 1.0.0-15
• meilleure documentation des résumés disponibles dans les applications (#693858)
• correctifs du moteur CHIL rétroportés (#693863)
• permettre de tester la construction sans correctifs en aval (#708511)
• activer le RELRO partiel lors de la liaison (#723994)
• ajouter un moteur intelx avec des performances améliorées sur les nouveaux processeurs Intel
• ajouter la variable d'environnement OPENSSL_DISABLE_AES_NI qui désactive
  le support AES-NI (n'affecte pas le moteur intelx)
• Mer 08 juin 2011 Tomas Mraz [email protected] 1.0.0-14
• utiliser le moteur AES-NI en mode FIPS
• Mar 24 mai 2011 Tomas Mraz [email protected] 1.0.0-11
• ajouter l'API nécessaire pour les tests CAVS de la nouvelle génération de paramètres DSA
• Jeu 10 février 2011 Tomas Mraz [email protected] 1.0.0-10
• correction de la vulnérabilité d'agrafage OCSP - CVE-2011-0014 (#676063)
• corrigez le document README.FIPS
• Ven 04 février 2011 Tomas Mraz [email protected] 1.0.0-8
• ajouter le paramètre -x931 à la commande openssl genrsa pour utiliser l'ANSI X9.31
  méthode de génération de clé
• utiliser la méthode FIPS-186-3 pour la génération de paramètres DSA
• ajouter la variable d'environnement OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW
  pour permettre l'utilisation de MD5 lorsque le système est en état de maintenance
  même si le drapeau /proc fips est activé
• faire fonctionner la commande openssl pkcs12 par défaut en mode FIPS
• Lun 24 janvier 2011 Tomas Mraz [email protected] 1.0.0-7
• écouter sur le joker ipv6 dans s_server afin que nous acceptions les connexions
  depuis ipv4 et ipv6 (#601612)
• correction de la commande de vitesse openssl afin qu'elle puisse être utilisée en mode FIPS
  avec les chiffrements FIPS autorisés (#619762)
• Mar 07 décembre 2010 Tomas Mraz [email protected] 1.0.0-6
• désactiver le code pour SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG - CVE-2010-3864
  (#649304)
• Ven 5 novembre 2010 Tomas Mraz [email protected] 1.0.0-5
• correction de la course dans le code d'analyse d'extension - CVE-2010-3864 (#649304)
• Mer 30 juin 2010 Tomas Mraz [email protected] 1.0.0-4
• Correction de la page de manuel openssl (#609484)
• Ven 04 juin 2010 Tomas Mraz [email protected] 1.0.0-3
• correction de la mauvaise définition ASN.1 de OriginatorInfo - CVE-2010-0742 (#598738)
• correction d'une fuite d'informations dans rsa_verify_recover - CVE-2010-1633 (#598732)
• Mer 19 mai 2010 Tomas Mraz [email protected] 1.0.0-2
• rendre le répertoire CA lisible - les clés privées sont dans le sous-répertoire privé (#584810)
• quelques correctifs du CVS en amont
• faire fonctionner X509_NAME_hash_old en mode FIPS (#568395)
• Mar 30 mars 2010 Tomas Mraz [email protected] 1.0.0-1
• mise à jour vers la version finale 1.0.0 en amont
• Mar 16 février 2010 Tomas Mraz [email protected] 1.0.0-0.22.beta5
• faire fonctionner TLS en mode FIPS
• Ven 12 février 2010 Tomas Mraz [email protected] 1.0.0-0.21.beta5
• gérer avec élégance la longueur nulle dans les implémentations en assembleur de
  OPENSSL_cleanse (#564029)
• n'échoue pas dans s_server si le nom d'hôte du client ne peut pas être résolu (#561260)
• Mer 20 janvier 2010 Tomas Mraz [email protected] 1.0.0-0.20.beta5
• nouvelle version amont
• Jeu 14 janvier 2010 Tomas Mraz [email protected] 1.0.0-0.19.beta4
• correction CVE-2009-4355 - fuite dans les applications appelant de manière incorrecte
  CRYPTO_free_all_ex_data() avant la sortie de l'application (#546707)
• correctif en amont pour la gestion future de la version du protocole TLS
• Mer 13 janvier 2010 Tomas Mraz [email protected] 1.0.0-0.18.beta4
• ajouter la prise en charge d'Intel AES-NI
• Jeu 07 janvier 2010 Tomas Mraz [email protected] 1.0.0-0.17.beta4
• gestion de la compression des correctifs en amont à la reprise de la session
• diverses vérifications nulles et autres petites corrections en amont
• modifications en amont pour les informations de renégociation selon le dernier projet
• Lundi 23 novembre 2009 Tomas Mraz [email protected] 1.0.0-0.16.beta4
• correction de la construction mingw non fips (correctif de Kalev Lember)
• ajouter le correctif IPV6 pour DTLS
• Ven 20 novembre 2009 Tomas Mraz [email protected] 1.0.0-0.15.beta4
• ajouter un meilleur rapport d'erreur pour la renégociation non sécurisée
• Ven 20 novembre 2009 Tomas Mraz [email protected] 1.0.0-0.14.beta4
• correction de la construction sur s390x
• Mer 18 novembre 2009 Tomas Mraz [email protected] 1.0.0-0.13.beta4
• désactiver l'application de l'extension de renégociation sur le client (#537962)
• ajouter des correctifs à partir de l'instantané en amont actuel
• Ven 13 novembre 2009 Tomas Mraz [email protected] 1.0.0-0.12.beta4
• garder le statut bêta dans le numéro de version à 3 afin que nous n'ayons pas à reconstruire
  openssh et éventuellement d'autres dépendances avec un contrôle de version trop strict
• Jeu 12 novembre 2009 Tomas Mraz [email protected] 1.0.0-0.11.beta4
• mise à jour vers la nouvelle version en amont, pas besoin de soname bump
• correctif CVE-2009-3555 - notez que le correctif est contourné si SSL_OP_ALL est utilisé
  la compatibilité avec les clients non corrigés n'est donc pas rompue. le
  l'extension du protocole n'est pas non plus définitive.
• Ven 16 octobre 2009 Tomas Mraz [email protected] 1.0.0-0.10.beta3
• correction de l'utilisation de la mémoire libérée si SSL_CTX_free() est appelé avant
  SSL_free() (#521342)
• Jeu 08 octobre 2009 Tomas Mraz [email protected] 1.0.0-0.9.beta3
• Correction d'une faute de frappe dans le code DTLS1 (#527015)
• correction d'une fuite dans la gestion des erreurs de d2i_SSL_SESSION()
• Mer 30 septembre 2009 Tomas Mraz [email protected] 1.0.0-0.8.beta3
• correction des autotests RSA et DSA FIPS
• réactiver le code assembleur x86_64 camellia fixe (#521127)
• Ven 04 septembre 2009 Tomas Mraz [email protected] 1.0.0-0.7.beta3
• désactiver temporairement le code assembleur x86_64 camellia (#521127)
• Lundi 31 août 2009 Tomas Mraz [email protected] 1.0.0-0.6.beta3
• correction de openssl dgst -dss1 (#520152)
• Mer 26 août 2009 Tomas Mraz [email protected] 1.0.0-0.5.beta3
• laissez tomber les hacks de liens symboliques compat
• Sam 22 août 2009 Tomas Mraz [email protected] 1.0.0-0.4.beta3
• Constify SSL_CIPHER_description()
• Ven 21 août 2009 Tomas Mraz [email protected] 1.0.0-0.3.beta3
• fix WWW:Curl : Référence facile dans tsget
• Ven 21 août 2009 Tomas Mraz [email protected] 1.0.0-0.2.beta3
• activer MD-2
• Jeu 20 août 2009 Tomas Mraz [email protected] 1.0.0-0.1.beta3
• mise à jour vers la nouvelle version majeure en amont
• Sam 25 juillet 2009 Fedora Release Engineering [email protected] - 0.9.8k-7
• Reconstruit pour https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild
• Mer 22 juillet 2009 Bill Nottingham [email protected]
• ne construisez pas de versions spéciales "optimisées" pour i686, car c'est la base
  arch dans Fedora maintenant
• Mar 30 juin 2009 Tomas Mraz [email protected] 0.9.8k-6
• abandonner si les autotests ont échoué et que le générateur de nombres aléatoires est interrogé
• mentionner les routines EVP_aes et EVP_sha2xx dans les pages de manuel
• ajouter README.FIPS
• faire le chemin absolu du répertoire CA (#445344)
• changer la longueur par défaut pour la génération de clé RSA à 2048 (#484101)
• Jeu 21 mai 2009 Tomas Mraz [email protected] 0.9.8k-5
• corriger CVE-2009-1377 CVE-2009-1378 CVE-2009-1379
  (Problèmes DoS DTLS) (#501253, #501254, #501572)
• Mar 21 avril 2009 Tomas Mraz [email protected] 0.9.8k-4
• prend en charge le mode DTLS de compatibilité pour CISCO AnyConnect (#464629)
• ven. 17 avril 2009 Tomas Mraz [email protected] 0.9.8k-3
• corriger la définition de SHLIB_VERSION
• Mer 15 avril 2009 Tomas Mraz [email protected] 0.9.8k-2
• ajouter la prise en charge de plusieurs CRL avec le même sujet
• charger uniquement la prise en charge du moteur dynamique en mode FIPS
• Mer 25 mars 2009 Tomas Mraz [email protected] 0.9.8k-1
• mise à jour vers la nouvelle version en amont (corrections de bugs mineurs, sécurité
  correctifs et optimisations du code machine uniquement)
• Jeu 19 mars 2009 Tomas Mraz [email protected] 0.9.8j-10
• déplacer les bibliothèques vers /usr/lib (#239375)
• Ven 13 mars 2009 Tomas Mraz [email protected] 0.9.8j-9
• ajouter un sous-package statique
• Jeu 26 février 2009 Fedora Release Engineering [email protected] - 0.9.8j-8
• Reconstruit pour https://fedoraproject.org/wiki/Fedora_11_Mass_Rebuild
• Lun 02 février 2009 Tomas Mraz [email protected] 0.9.8j-7
• doit également vérifier la somme de contrôle de libssl.so en mode FIPS
• obtenir la graine pour FIPS rng directement à partir du périphérique du noyau
• supprimer les liens symboliques temporaires
• Lun 26 janvier 2009 Tomas Mraz [email protected] 0.9.8j-6
• déposer le triggerpostun temporaire et le lien symbolique dans le post
• corrigez les fichiers pkgconfig et supprimez les buildrequires inutiles
  sur pkgconfig car il s'agit d'une dépendance rpmbuild (#481419)
• Sam 17 janvier 2009 Tomas Mraz [email protected] 0.9.8j-5
• ajouter un déclencheur temporaire pour rétablir les liens symboliques
• Sam 17 janvier 2009 Tomas Mraz [email protected] 0.9.8j-4
• pas de tests de clé par paires en mode non-fips (#479817)
• Ven 16 janvier 2009 Tomas Mraz [email protected] 0.9.8j-3
• test encore plus robuste pour les liens symboliques temporaires
• Ven 16 janvier 2009 Tomas Mraz [email protected] 0.9.8j-2
• essayez de vous assurer que les liens symboliques temporaires existent
• Jeu 15 janvier 2009 Tomas Mraz [email protected] 0.9.8j-1
• nouvelle version amont avec soname bump nécessaire (#455753)
• fournir temporairement un lien symbolique vers l'ancien soname pour permettre la reconstruction
  les packages dépendants en cuir brut
• ajouter le support eap-fast (#428181)
• ajouter la possibilité de désactiver zlib en définissant
• ajouter la prise en charge du mode fips à des fins de test
• ne pas déréférencer null sur certains fichiers smime invalides
• ajouter buildrequires pkgconfig (#479493)
• Dim 10 août 2008 Tomas Mraz [email protected] 0.9.8g-11
• n'ajoutez pas non plus d'extensions tls au serveur hello pour SSLv3
• Lun 02 juin 2008 Joe Orton [email protected] 0.9.8g-10
• déplacer le bundle CA racine vers le package ca-certificates
• Mer 28 mai 2008 Tomas Mraz [email protected] 0.9.8g-9
• correction de CVE-2008-0891 - plantage de l'extension de nom de serveur (#448492)
• correction de CVE-2008-1672 - le message d'échange de clé du serveur omet le plantage (#448495)
• Mar 27 mai 2008 Tomas Mraz [email protected] 0.9.8g-8
• soutien de la voûte super-H
• supprimez la solution de contournement pour le bogue 199604 car elle devrait être corrigée dans gcc-4.3
• Lun 19 mai 2008 Tom "spot" Callaway [email protected] 0.9.8g-7
• gestion des sparcs
• Lun 10 mars 2008 Joe Orton [email protected] 0.9.8g-6
• mise à jour vers le nouveau bundle CA racine de mozilla.org (r1.45)
• Mer 20 février 2008 Fedora Release Engineering [email protected] - 0.9.8g-5
• Reconstruction automatique pour GCC 4.3
• Jeu 24 janvier 2008 Tomas Mraz [email protected] 0.9.8g-4
• correctifs de révision de fusion (#226220)
• ajustez le SHLIB_VERSION_NUMBER pour refléter le nom de la bibliothèque (#429846)
• Jeu 13 décembre 2007 Tomas Mraz [email protected] 0.9.8g-3
• définir les chemins par défaut lorsqu'aucun chemin explicite n'est défini (#418771)
• ne pas ajouter d'extensions tls au client hello pour SSLv3 (#422081)
• Mar 04 décembre 2007 Tomas Mraz [email protected] 0.9.8g-2
• activer de nouveaux algorithmes et fonctionnalités de chiffrement
• ajouter quelques corrections de bogues plus importantes à partir d'openssl CVS
• Lundi 03 décembre 2007 Tomas Mraz [email protected] 0.9.8g-1
• mise à jour vers la dernière version en amont, SONAME est passé à 7
• Lundi 15 octobre 2007 Joe Orton [email protected] 0.9.8b-17
• mise à jour vers le nouveau bundle CA de mozilla.org
• Ven 12 octobre 2007 Tomas Mraz [email protected] 0.9.8b-16
• corrige CVE-2007-5135 - un par un dans SSL_get_shared_ciphers (#309801)
• correction de CVE-2007-4995 - débordement de tampon de fragments DTLS en panne (#321191)
• ajouter des sous-arches alpha (#296031)
• Mar 21 août 2007 Tomas Mraz [email protected] 0.9.8b-15
• reconstruire
• Ven 03 août 2007 Tomas Mraz [email protected] 0.9.8b-14
• utilisez localhost dans la suite de tests, espérons-le, corrige la construction lente dans koji
• CVE-2007-3108 - correction de l'attaque par canal latéral sur les clés privées (#250577)
• faire en sorte que l'identifiant du cache de session SSL corresponde strictement (#233599)
• Mer 25 juillet 2007 Tomas Mraz [email protected] 0.9.8b-13
• permettre la construction sur les architectures ARM (#245417)
• utiliser des horodatages de référence pour éviter les conflits multilib (#218064)
• -le paquet devel doit nécessiter pkgconfig (#241031)
• Lundi 11 décembre 2006 Tomas Mraz [email protected] 0.9.8b-12
• détecter correctement les doublons dans add_dir (#206346)
• Jeu 30 novembre 2006 Tomas Mraz [email protected] 0.9.8b-11
• la modification précédente n'a toujours pas rendu X509_NAME_cmp transitif
• Jeu 23 novembre 2006 Tomas Mraz [email protected] 0.9.8b-10
• rendre X509_NAME_cmp transitif sinon recherche de certificat
  est cassé (#216050)
• Jeu 2 novembre 2006 Tomas Mraz [email protected] 0.9.8b-9
• bug d'aliasing dans le chargement du moteur, patch par IBM (#213216)
• Lundi 2 octobre 2006 Tomas Mraz [email protected] 0.9.8b-8
• Le correctif CVE-2006-2940 était incorrect (#208744)
• Lundi 25 septembre 2006 Tomas Mraz [email protected] 0.9.8b-7
• correction de CVE-2006-2937 - erreur de mauvaise gestion lors de l'analyse ASN.1 (#207276)
• correction CVE-2006-2940 - Clés publiques parasites DoS (#207274)
• correction CVE-2006-3738 - débordement de tampon dans SSL_get_shared_ciphers (#206940)
• correction de CVE-2006-4343 - DoS du client sslv2 (#206940)
• Mar 05 septembre 2006 Tomas Mraz [email protected] 0.9.8b-6
• correction CVE-2006-4339 - empêche l'attaque sur les signatures PKCS#1 v1.5 (#205180)
• Mer 02 août 2006 Tomas Mraz [email protected] - 0.9.8b-5
• définir la mise en mémoire tampon sur aucune sur stdio/stdout FILE lorsque bufsize est défini (#200580)
  correctif par IBM
• Ven 28 juillet 2006 Alexandre Oliva [email protected] - 0.9.8b-4.1
• reconstruire avec de nouveaux binutils (#200330)
• Ven 21 juillet 2006 Tomas Mraz [email protected] - 0.9.8b-4
• ajouter une solution de contournement temporaire pour l'échec du test sha512 sur s390 (#199604)
• Jeu 20 juillet 2006 Tomas Mraz [email protected]
• ajouter le support ipv6 à s_client et s_server (par Jan Pazdziora) (#198737)
• ajouter des correctifs pour BN threadsafety, AES cache collision attack hazard fix et
  correction de memleak de code pkcs7 à partir du CVS en amont
• Mer 12 juillet 2006 Jesse Keating [email protected] - 0.9.8b-3.1
• reconstruire
• Mer 21 juin 2006 Tomas Mraz [email protected] - 0.9.8b-3
• abandonné le moteur libica et ica de la construction
• Mer 21 juin 2006 Joe Orton [email protected]
• mise à jour vers le nouveau bundle CA de mozilla.org ; ajoute des certificats CA
  de netlock.hu et startcom.org
• Lun 05 juin 2006 Tomas Mraz [email protected] - 0.9.8b-2
• correction de quelques avertissements rpmlint
• meilleur correctif pour # 173399 en amont
• correctif en amont pour pkcs12
• Jeu 11 mai 2006 Tomas Mraz [email protected] - 0.9.8b-1
• mise à niveau vers la nouvelle version, reste compatible ABI
• il n'y a plus de linux/config.h (il était vide de toute façon)
• Mar 04 avril 2006 Tomas Mraz [email protected] - 0.9.8a-6
• correction des poignées ouvertes obsolètes dans libica (#177155)
• correction de build si 'rand' ou 'passwd' dans le chemin buildroot (#178782)
• initialiser le moteur VIA Padlock (#186857)
• Ven 10 février 2006 Jesse Keating [email protected] - 0.9.8a-5.2
• bosse à nouveau pour un bogue double-long sur ppc (64)
• Mar 07 février 2006 Jesse Keating [email protected] - 0.9.8a-5.1
• reconstruit pour le nouvel instantané gcc4.1 et les changements glibc
• Jeu 15 décembre 2005 Tomas Mraz [email protected] 0.9.8a-5
• ne pas inclure SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
  dans SSL_OP_ALL (#175779)
• ven. 09 décembre 2005 Jesse Keating [email protected]
• reconstruit
• Mar 29 novembre 2005 Tomas Mraz [email protected] 0.9.8a-4
• correction de la construction (-lcrypto a été supprimé par erreur) de la libica mise à jour
• mise à jour du moteur ICA vers 1.3.6-rc3
• Mar 22 novembre 2005 Tomas Mraz [email protected] 0.9.8a-3
• désactiver les méthodes de compression intégrées pour l'instant jusqu'à ce qu'elles fonctionnent
  correctement (#173399)
• Mer 16 novembre 2005 Tomas Mraz [email protected] 0.9.8a-2
• ne définissez pas -rpath pour le binaire openssl
• Mar 08 novembre 2005 Tomas Mraz [email protected] 0.9.8a-1
• nouvelle version amont
• patchs partiellement renumérotés
• Ven 21 octobre 2005 Tomas Mraz [email protected] 0.9.7f-11
• bibliothèque de moteur IBM ICA mise à jour et correctif vers la dernière version en amont
• Mer 12 octobre 2005 Tomas Mraz [email protected] 0.9.7f-10
• correction CAN-2005-2969 - supprimer SSL_OP_MSIE_SSLV2_RSA_PADDING qui
  désactive la contre-mesure contre l'attaque de l'homme du milieu dans SSLv2
  (#169863)
• utiliser sha1 par défaut pour les requêtes CA et cert - CAN-2005-2946 (#169803)
• Mar 23 août 2005 Tomas Mraz [email protected] 0.9.7f-9
• ajouter *.so.soversion comme liens symboliques dans /lib (#165264)
• supprimer les liens symboliques non empaquetés (#159595)
• corrections en amont (corrections à temps constant pour DSA,
  bn assembleur div sur ppc arch, initialiser la mémoire sur realloc)
• Jeu 11 août 2005 Phil Knirsch [email protected] 0.9.7f-8
• Mise à jour du correctif IBM du moteur ICA vers la dernière version en amont.
• Jeu 19 mai 2005 Tomas Mraz [email protected] 0.9.7f-7
• correction de CAN-2005-0109 - utilisation de l'accès temps/mémoire constant mod_exp
  afin que des morceaux de clé privée ne soient pas divulgués par l'éviction du cache (#157631)
• quelques correctifs supplémentaires de l'amont 0.9.7g
• Mer 27 avril 2005 Tomas Mraz [email protected] 0.9.7f-6
• utiliser sondage au lieu de sélectionner en rand (#128285)
• correction de Makefile.certificate pour pointer vers /etc/pki/tls
• changer le masque de chaîne par défaut dans ASN1 en PrintableString+UTF8String
• Lun 25 avril 2005 Joe Orton [email protected] 0.9.7f-5
• mise à jour vers la révision 1.37 du bundle Mozilla CA
• Jeu 21 avril 2005 Tomas Mraz [email protected] 0.9.7f-4
• déplacer les certificats vers _sysconfdir/pki/tls (#143392)
• déplacer les répertoires CA vers _sysconfdir/pki/CA
• corrigez le script CA et la configuration par défaut afin qu'il pointe vers le
  Annuaires CA
• Ven 01 avril 2005 Tomas Mraz [email protected] 0.9.7f-3
• la variable non initialisée ne doit pas être utilisée comme entrée en ligne
  Assemblée
• réactiver à nouveau l'assembly x86_64
• Jeu 31 mars 2005 Tomas Mraz [email protected] 0.9.7f-2
• rajoutez RC4_CHAR sur ia64 et x86_64 pour que l'ABI ne soit pas cassé
• désactiver l'assemblage bignum cassé sur x86_64
• Mer 30 mars 2005 Tomas Mraz [email protected] 0.9.7f-1
• réactiver les optimisations sur ppc64 et le code assembleur sur ia64
• mise à niveau vers la nouvelle version en amont (pas besoin de soname bump)
• désactiver le test de thread - il testait le backport du
  Blindage RSA - plus nécessaire
• ajout de la prise en charge de la modification du numéro de série en
  Makefile.certificate (#151188)
• faire de ca-bundle.crt un fichier de configuration (#118903)
• Mar 01 mars 2005 Tomas Mraz [email protected] 0.9.7e-3
• libcrypto ne devrait pas dépendre de libkrb5 (#135961)
• Lundi 28 février 2005 Tomas Mraz [email protected] 0.9.7e-2
• reconstruire
• Lundi 28 février 2005 Tomas Mraz [email protected] 0.9.7e-1
• nouvelle source en amont, correctifs mis à jour
• patch ajouté afin que nous soyons, espérons-le, compatibles avec ABI avec les prochains
  0.9.7f
• Jeu 10 février 2005 Tomas Mraz [email protected]
• Prise en charge du jeu de caractères UTF-8 dans le Makefile.certificate (#134944)
• cmp ajouté à BuildPrereq
• Jeu 27 janvier 2005 Joe Orton [email protected] 0.9.7a-46
• générer un nouveau ca-bundle.crt à partir de Mozilla certdata.txt (révision 1.32)
• Jeu 23 décembre 2004 Phil Knirsch [email protected] 0.9.7a-45
• Correction et mise à jour du correctif libica-1.3.4-urandom.patch (#122967)
• Ven 19 novembre 2004 Nalin Dahyabhai [email protected] 0.9.7a-44
• reconstruire
• Ven 19 novembre 2004 Nalin Dahyabhai [email protected] 0.9.7a-43
• reconstruire
• Ven 19 novembre 2004 Nalin Dahyabhai [email protected] 0.9.7a-42
• reconstruire
• Ven 19 novembre 2004 Nalin Dahyabhai [email protected] 0.9.7a-41
• supprimer der_chop, comme cvs en amont l'a fait (CAN-2004-0975, #140040)
• Mar 05 octobre 2004 Phil Knirsch [email protected] 0.9.7a-40
• Inclure la dernière version de libica avec des corrections de bogues importantes
• Mar 15 juin 2004 Elliot Lee [email protected]
• reconstruit
• Lundi 14 juin 2004 Phil Knirsch [email protected] 0.9.7a-38
• Mise à jour du correctif IBM du moteur ICA vers la dernière version en amont.
• Lun 07 juin 2004 Nalin Dahyabhai [email protected] 0.9.7a-37
• construire pour linux-alpha-gcc au lieu d'alpha-gcc sur alpha (Jeff Garzik)
• Mar 25 mai 2004 Nalin Dahyabhai [email protected] 0.9.7a-36
• gérer %{_arch}=i486/i586/i686/cas d'athlon dans l'intermédiaire
  en-tête (#124303)
• Jeu 25 mars 2004 Joe Orton [email protected] 0.9.7a-35
• ajouter des correctifs de sécurité pour CAN-2004-0079, CAN-2004-0112
• Mar 16 mars 2004 Phil Knirsch [email protected]
• Spécification de fichier libica fixe.
• Jeu 11 mars 2004 Nalin Dahyabhai [email protected] 0.9.7a-34
• ppc/ppc64 définit powerpc / powerpc64 , pas ppc / ppc64 , corrige
  l'en-tête intermédiaire
• Mer 10 mars 2004 Nalin Dahyabhai [email protected] 0.9.7a-33
• ajouter un intermédiairequi pointe vers la droite
  opensslconf.h spécifique à l'arch sur les arches multilib
• Mar 02 mars 2004 Elliot Lee [email protected]
• reconstruit
• Jeu 26 février 2004 Phil Knirsch [email protected] 0.9.7a-32
• Mise à jour de libica vers la dernière version amont 1.3.5.
• Mar 17 février 2004 Phil Knirsch [email protected] 0.9.7a-31
• Mettez à jour le correctif du moteur de chiffrement ICA d'IBM vers la dernière version.
• Ven 13 février 2004 Elliot Lee [email protected]
• reconstruit
• Ven 13 février 2004 Phil Knirsch [email protected] 0.9.7a-29
• reconstruit
• Mer 11 février 2004 Phil Knirsch [email protected] 0.9.7a-28
• Construction libica fixe.
• Mer 04 février 2004 Nalin Dahyabhai [email protected]
• ajouter "-ldl" aux indicateurs de lien ajoutés pour Linux-on-ARM (#99313)
• Mer 04 février 2004 Joe Orton [email protected] 0.9.7a-27
• ca-bundle.crt mis à jour : suppression des racines GeoTrust expirées, ajout
  racine freessl.com, suppression de la racine trustcenter.de classe 0
• Dim 30 novembre 2003 Tim Waugh [email protected] 0.9.7a-26
• Correction de la ligne de lien pour libssl (bug #111154).
• Ven 24 octobre 2003 Nalin Dahyabhai [email protected] 0.9.7a-25
• ajouter une dépendance sur zlib-devel pour le paquet -devel, qui dépend de zlib
  symboles car nous activons zlib pour libssl (#102962)
• Ven 24 octobre 2003 Phil Knirsch [email protected] 0.9.7a-24
• Utilisez /dev/urandom au lieu de PRNG pour libica.
• Appliquer le correctif libica-1.3.5 pour /dev/urandom dans icalinux.c
• Utilisez le dernier correctif de moteur ICA d'IBM.
• Sam 04 octobre 2003 Nalin Dahyabhai [email protected] 0.9.7a-22.1
• reconstruire
• Mer 01 octobre 2003 Nalin Dahyabhai [email protected] 0.9.7a-22
• reconstruire (22 n'a pas été réellement construit, amusant hein ?)
• Mar 30 septembre 2003 Nalin Dahyabhai [email protected] 0.9.7a-23
• re-désactiver les optimisations sur ppc64
• Mardi 30 septembre 2003 Joe Orton [email protected]
• ajouter le correctif a_mbstr.c pour les plates-formes 64 bits à partir de CVS
• Mar 30 septembre 2003 Nalin Dahyabhai [email protected] 0.9.7a-22
• ajouter -Wa,--noexecstack à RPM_OPT_FLAGS pour que les modules assemblés soient étiquetés
  comme n'ayant pas besoin de piles exécutables
• Lundi 29 septembre 2003 Nalin Dahyabhai [email protected] 0.9.7a-21
• reconstruire
• Jeu 25 septembre 2003 Nalin Dahyabhai [email protected]
• réactiver les optimisations sur ppc64
• Jeu 25 septembre 2003 Nalin Dahyabhai [email protected]
• remove exclusivearch
• Wed Sep 24 2003 Nalin Dahyabhai [email protected] 0.9.7a-20
• only parse a client cert if one was requested
• temporarily exclusivearch for %{ix86}
• Tue Sep 23 2003 Nalin Dahyabhai [email protected]
• add security fixes for protocol parsing bugs (CAN-2003-0543, CAN-2003-0544)
  and heap corruption (CAN-2003-0545)
• update RHNS-CA-CERT files
• ease back on the number of threads used in the threading test
• Wed Sep 17 2003 Matt Wilson [email protected] 0.9.7a-19
• rebuild to fix gzipped file md5sums (#91211)
• Mon Aug 25 2003 Phil Knirsch [email protected] 0.9.7a-18
• Updated libica to version 1.3.4.
• Thu Jul 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-17
• reconstruire
• Tue Jul 15 2003 Nalin Dahyabhai [email protected] 0.9.7a-10.9
• free the kssl_ctx structure when we free an SSL structure (#99066)
• Fri Jul 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-16
• reconstruire
• Thu Jul 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-15
• lower thread test count on s390x
• Tue Jul 08 2003 Nalin Dahyabhai [email protected] 0.9.7a-14
• reconstruire
• Thu Jun 26 2003 Nalin Dahyabhai [email protected] 0.9.7a-13
• disable assembly on arches where it seems to conflict with threading
• Thu Jun 26 2003 Phil Knirsch [email protected] 0.9.7a-12
• Updated libica to latest upstream version 1.3.0
• Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-9.9
• reconstruire
• Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-11
• reconstruire
• Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-10
• ubsec: don't stomp on output data which might also be input data
• Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-9
• temporarily disable optimizations on ppc64
• Mon Jun 09 2003 Nalin Dahyabhai [email protected]
• backport fix for engine-used-for-everything from 0.9.7b
• backport fix for prng not being seeded causing problems, also from 0.9.7b
• add a check at build-time to ensure that RSA is thread-safe
• keep perlpath from stomping on the libica configure scripts
• Fri Jun 06 2003 Nalin Dahyabhai [email protected]
• thread-safety fix for RSA blinding
• Wed Jun 04 2003 Elliot Lee [email protected] 0.9.7a-8
• rebuilt
• Fri May 30 2003 Phil Knirsch [email protected] 0.9.7a-7
• Added libica-1.2 to openssl (featurerequest).
• Wed Apr 16 2003 Nalin Dahyabhai [email protected] 0.9.7a-6
• fix building with incorrect flags on ppc64
• Wed Mar 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-5
• add patch to harden against Klima-Pokorny-Rosa extension of Bleichenbacher's
  attack (CAN-2003-0131)
• Mon Mar 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-4
• add patch to enable RSA blinding by default, closing a timing attack
  (CAN-2003-0147)
• Wed Mar 05 2003 Nalin Dahyabhai [email protected] 0.9.7a-3
• disable use of BN assembly module on x86_64, but continue to allow inline
  assembly (#83403)
• Thu Feb 27 2003 Nalin Dahyabhai [email protected] 0.9.7a-2
• disable EC algorithms
• Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-1
• update to 0.9.7a
• Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7-8
• add fix to guard against attempts to allocate negative amounts of memory
• add patch for CAN-2003-0078, fixing a timing attack
• Thu Feb 13 2003 Elliot Lee [email protected] 0.9.7-7
• Add openssl-ppc64.patch
• Mon Feb 10 2003 Nalin Dahyabhai [email protected] 0.9.7-6
• EVP_DecryptInit should call EVP_CipherInit() instead of EVP_CipherInit_ex(),
  to get the right behavior when passed uninitialized context structures
  (#83766)
• build with -mcpu=ev5 on alpha family (#83828)
• Wed Jan 22 2003 Tim Powers [email protected]
• rebuilt
• Fri Jan 17 2003 Phil Knirsch [email protected] 0.9.7-4
• Added IBM hw crypto support patch.
• Wed Jan 15 2003 Nalin Dahyabhai [email protected]
• add missing builddep on sed
• Thu Jan 09 2003 Bill Nottingham [email protected] 0.9.7-3
• dégonfler
• fix broken manpage symlinks
• Wed Jan 08 2003 Nalin Dahyabhai [email protected] 0.9.7-2
• fix double-free in 'openssl ca'
• Fri Jan 03 2003 Nalin Dahyabhai [email protected] 0.9.7-1
• update to 0.9.7 final
• Tue Dec 17 2002 Nalin Dahyabhai [email protected] 0.9.7-0
• update to 0.9.7 beta6 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
• Wed Dec 11 2002 Nalin Dahyabhai [email protected]
• update to 0.9.7 beta5 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
• Tue Oct 22 2002 Nalin Dahyabhai [email protected] 0.9.6b-30
• add configuration stanza for x86_64 and use it on x86_64
• build for linux-ppc on ppc
• start running the self-tests again
• Wed Oct 02 2002 Elliot Lee [email protected] 0.9.6b-29hammer.3
• Merge fixes from previous hammer packages, including general x86-64 and
  multilib
• Tue Aug 06 2002 Nalin Dahyabhai [email protected] 0.9.6b-29
• reconstruire
• Thu Aug 01 2002 Nalin Dahyabhai [email protected] 0.9.6b-28
• update asn patch to fix accidental reversal of a logic check
• Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-27
• update asn patch to reduce chance that compiler optimization will remove
  one of the added tests
• Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-26
• reconstruire
• Mon Jul 29 2002 Nalin Dahyabhai [email protected] 0.9.6b-25
• add patch to fix ASN.1 vulnerabilities
• Thu Jul 25 2002 Nalin Dahyabhai [email protected] 0.9.6b-24
• add backport of Ben Laurie's patches for OpenSSL 0.9.6d
• Wed Jul 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-23
• own {_datadir}/ssl/misc
• Fri Jun 21 2002 Tim Powers [email protected]
• automated rebuild
• Sun May 26 2002 Tim Powers [email protected]
• automated rebuild
• Fri May 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-20
• free ride through the build system (whee!)
• Thu May 16 2002 Nalin Dahyabhai [email protected] 0.9.6b-19
• rebuild in new environment
• Thu Apr 04 2002 Nalin Dahyabhai [email protected] 0.9.6b-17, 0.9.6b-18
• merge RHL-specific bits into stronghold package, rename
• Tue Apr 02 2002 Gary Benson [email protected] stronghold-0.9.6c-2
• add support for Chrysalis Luna token
• Tue Mar 26 2002 Gary Benson [email protected]
• disable AEP random number generation, other AEP fixes
• Fri Mar 15 2002 Nalin Dahyabhai [email protected] 0.9.6b-15
• only build subpackages on primary arches
• Thu Mar 14 2002 Nalin Dahyabhai [email protected] 0.9.6b-13
• on ia32, only disable use of assembler on i386
• enable assembly on ia64
• Mon Jan 07 2002 Florian La Roche Florian. [email protected] 0.9.6b-11
• fix sparcv9 entry
• Mon Jan 07 2002 Gary Benson [email protected] stronghold-0.9.6c-1
• upgrade to 0.9.6c
• bump BuildArch to i686 and enable assembler on all platforms
• synchronise with shrimpy and rawhide
• bump soversion to 3
• Wed Oct 10 2001 Florian La Roche Florian. [email protected]
• delete BN_LLONG for s390x, patch from Oliver Paukstadt
• Mon Sep 17 2001 Nalin Dahyabhai [email protected] 0.9.6b-9
• update AEP driver patch
• Mon Sep 10 2001 Nalin Dahyabhai [email protected]
• adjust RNG disabling patch to match version of patch from Broadcom
• Fri Sep 07 2001 Nalin Dahyabhai [email protected] 0.9.6b-8
• disable the RNG in the ubsec engine driver
• Tue Aug 28 2001 Nalin Dahyabhai [email protected] 0.9.6b-7
• tweaks to the ubsec engine driver
• Fri Aug 24 2001 Nalin Dahyabhai [email protected] 0.9.6b-6
• tweaks to the ubsec engine driver
• Thu Aug 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-5
• update ubsec engine driver from Broadcom
• Fri Aug 10 2001 Nalin Dahyabhai [email protected] 0.9.6b-4
• move man pages back to %{_mandir}/man?/foo.?ssl from
  %{_mandir}/man?ssl/foo.?
• add an [ engine ] section to the default configuration file
• Thu Aug 09 2001 Nalin Dahyabhai [email protected]
• add a patch for selecting a default engine in SSL_library_init()
• Mon Jul 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-3
• add patches for AEP hardware support
• add patch to keep trying when we fail to load a cert from a file and
  there are more in the file
• add missing prototype for ENGINE_ubsec() in engine_int.h
• Wed Jul 18 2001 Nalin Dahyabhai [email protected] 0.9.6b-2
• actually add hw_ubsec to the engine list
• Tue Jul 17 2001 Nalin Dahyabhai [email protected]
• add in the hw_ubsec driver from CVS
• Wed Jul 11 2001 Nalin Dahyabhai [email protected] 0.9.6b-1
• update to 0.9.6b
• Thu Jul 05 2001 Nalin Dahyabhai [email protected]
• move .so symlinks back to %{_libdir}
• Tue Jul 03 2001 Nalin Dahyabhai [email protected]
• move shared libraries to /lib (#38410)
• Mon Jun 25 2001 Nalin Dahyabhai [email protected]
• switch to engine code base
• Mon Jun 18 2001 Nalin Dahyabhai [email protected]
• add a script for creating dummy certificates
• move man pages from %{_mandir}/man?/foo.?ssl to %{_mandir}/man?ssl/foo.?
• Thu Jun 07 2001 Florian La Roche Florian. [email protected]
• add s390x support
• Fri Jun 01 2001 Nalin Dahyabhai [email protected]
• change two memcpy() calls to memmove()
• don't define L_ENDIAN on alpha
• Wed May 23 2001 Joe Orton [email protected] stronghold-0.9.6a-1
• Add 'stronghold-' prefix to package names.
• Obsolete standard openssl packages.
• Wed May 16 2001 Joe Orton [email protected]
• Add BuildArch: i586 as per Nalin's advice.
• Tue May 15 2001 Joe Orton [email protected]
• Enable assembler on ix86 (using new .tar.bz2 which does
  include the asm directories).
• Tue May 15 2001 Nalin Dahyabhai [email protected]
• make subpackages depend on the main package
• Tue May 01 2001 Nalin Dahyabhai [email protected]
• adjust the hobble script to not disturb symlinks in include/ (fix from
  Joe Orton)
• Fri Apr 27 2001 Nalin Dahyabhai [email protected]
• drop the m2crypo patch we weren't using
• Tue Apr 24 2001 Nalin Dahyabhai [email protected]
• configure using "shared" as well
• Sun Apr 08 2001 Nalin Dahyabhai [email protected]
• update to 0.9.6a
• use the build-shared target to build shared libraries
• bump the soversion to 2 because we're no longer compatible with
  our 0.9.5a packages or our 0.9.6 packages
• drop the patch for making rsatest a no-op when rsa null support is used
• put all man pages into
  ssl instead of
• break the m2crypto modules into a separate package
• Tue Mar 13 2001 Nalin Dahyabhai [email protected]
• use BN_LLONG on s390
• Mon Mar 12 2001 Nalin Dahyabhai [email protected]
• fix the s390 changes for 0.9.6 (isn't supposed to be marked as 64-bit)
• Sat Mar 03 2001 Nalin Dahyabhai [email protected]
• move c_rehash to the perl subpackage, because it's a perl script now
• Fri Mar 02 2001 Nalin Dahyabhai [email protected]
• update to 0.9.6
• enable MD2
• use the libcrypto.so and libssl.so targets to build shared libs with
• bump the soversion to 1 because we're no longer compatible with any of
  the various 0.9.5a packages circulating around, which provide lib*.so.0
• Wed Feb 28 2001 Florian La Roche Florian. [email protected]
• change hobble-openssl for disabling MD2 again
• Tue Feb 27 2001 Nalin Dahyabhai [email protected]
• re-disable MD2 -- the EVP_MD_CTX structure would grow from 100 to 152
  bytes or so, causing EVP_DigestInit() to zero out stack variables in
  apps built against a version of the library without it
• Mon Feb 26 2001 Nalin Dahyabhai [email protected]
• disable some inline assembly, which on x86 is Pentium-specific
• re-enable MD2 (see http://www.ietf.org/ietf/IPR/RSA-MD-all)
• Thu Feb 08 2001 Florian La Roche Florian. [email protected]
• fix s390 patch
• Fri Dec 08 2000 Than Ngo [email protected]
• added support s390
• Mon Nov 20 2000 Nalin Dahyabhai [email protected]
• remove -Wa,* and -m* compiler flags from the default Configure file (#20656)
• add the CA.pl man page to the perl subpackage
• Thu Nov 02 2000 Nalin Dahyabhai [email protected]
• always build with -mcpu=ev5 on alpha
• Tue Oct 31 2000 Nalin Dahyabhai [email protected]
• add a symlink from cert.pem to ca-bundle.crt
• Wed Oct 25 2000 Nalin Dahyabhai [email protected]
• add a ca-bundle file for packages like Samba to reference for CA certificates
• Tue Oct 24 2000 Nalin Dahyabhai [email protected]
• remove libcrypto's crypt(), which doesn't handle md5crypt (#19295)
• Mon Oct 02 2000 Nalin Dahyabhai [email protected]
• add unzip as a buildprereq (#17662)
• update m2crypto to 0.05-snap4
• Tue Sep 26 2000 Bill Nottingham [email protected]
• fix some issues in building when it's not installed
• Wed Sep 06 2000 Nalin Dahyabhai [email protected]
• make sure the headers we include are the ones we built with (aaaaarrgh!)
• Fri Sep 01 2000 Nalin Dahyabhai [email protected]
• add Richard Henderson's patch for BN on ia64
• clean up the changelog
• Tue Aug 29 2000 Nalin Dahyabhai [email protected]
• fix the building of python modules without openssl-devel already installed
• Wed Aug 23 2000 Nalin Dahyabhai [email protected]
• byte-compile python extensions without the build-root
• adjust the makefile to not remove temporary files (like .key files when
  building .csr files) by marking them as .PRECIOUS
• Sat Aug 19 2000 Nalin Dahyabhai [email protected]
• break out python extensions into a subpackage
• Mon Jul 17 2000 Nalin Dahyabhai [email protected]
• tweak the makefile some more
• Tue Jul 11 2000 Nalin Dahyabhai [email protected]
• disable MD2 support
• Thu Jul 06 2000 Nalin Dahyabhai [email protected]
• disable MDC2 support
• Sun Jul 02 2000 Nalin Dahyabhai [email protected]
• tweak the disabling of RC5, IDEA support
• tweak the makefile
• Thu Jun 29 2000 Nalin Dahyabhai [email protected]
• strip binaries and libraries
• rework certificate makefile to have the right parts for Apache
• Wed Jun 28 2000 Nalin Dahyabhai [email protected]
• use %{_perl} instead of /usr/bin/perl
• disable alpha until it passes its own test suite
• Fri Jun 09 2000 Nalin Dahyabhai [email protected]
• move the passwd.1 man page out of the passwd package's way
• Fri Jun 02 2000 Nalin Dahyabhai [email protected]
• update to 0.9.5a, modified for US
• add perl as a build-time requirement
• move certificate makefile to another package
• disable RC5, IDEA, RSA support
• remove optimizations for now
• Wed Mar 01 2000 Florian La Roche Florian. [email protected]
• Bero told me to move the Makefile into this package
• Wed Mar 01 2000 Florian La Roche Florian. [email protected]
• add lib*.so symlinks to link dynamically against shared libs
• Tue Feb 29 2000 Florian La Roche Florian. [email protected]
• update to 0.9.5
• run ldconfig directly in post/postun
• add FAQ
• Sat Dec 18 1999 Bernhard Rosenkrdnzer [email protected]
• Fix build on non-x86 platforms
• Fri Nov 12 1999 Bernhard Rosenkrdnzer [email protected]
• move /usr/share/ssl/* from -devel to main package
• Tue Oct 26 1999 Bernhard Rosenkrdnzer [email protected]
• inital packaging
• changes from base:
  
  
  
  • Move /usr/local/ssl to /usr/share/ssl for FHS compliance
  
  
  • handle RPM_OPT_FLAGS
  
  

Il semble que @Lekinho ait supprimé son compte github ? Pour la prochaine personne qui a des problèmes - il est possible que leur mise à niveau d'OpenSsl ou de Python ait cassé certaines liaisons c compilées. Chaque fois que j'ai une mise à niveau comme celle-ci, je supprime mon virtualenv ou tous les packages, puis en crée un nouveau.

@jvanasco je suis toujours là.
Je me demandais, avez-vous une URL publique avec laquelle je pourrais tester cela ? Je veux voir si la solution de contournement résout réellement le problème pour les cas confirmés (cela signifie que je n'ai rien foiré en essayant de le faire)

@Lukasa

sous-ensemble de changeset entre la version de travail et la version mise à jour :+1 :
Lun 02 mai 2016 Tomáš Mráz [email protected] 1.0.1e-48.1
correction CVE-2016-2105 - débordement possible dans l'encodage base64
correction CVE-2016-2106 - débordement possible dans EVP_EncryptUpdate()
correction CVE-2016-2107 - oracle de rembourrage dans AES-NI CBC-MAC cousu
correction CVE-2016-2108 - corruption de mémoire dans l'encodeur ASN.1
correction CVE-2016-2109 - DoS possible lors de la lecture des données ASN.1 de BIO
correction CVE-2016-0799 - problèmes de mémoire dans BIO_printf

Mer 24 février 2016 Tomáš Mráz [email protected] 1.0.1e-48

correction CVE-2016-0702 - attaque par canal latéral sur l'exponentiation modulaire
correction CVE-2016-0705 - double-free dans l'analyse de clé privée DSA
correction CVE-2016-0797 - corruption de tas dans BN_hex2bn et BN_dec2bn

Mar 16 février 2016 Tomáš Mráz [email protected] 1.0.1e-47

correction CVE-2015-3197 - Application de la suite de chiffrement SSLv2
désactiver SSLv2 dans la méthode TLS générique

Ven 15 janvier 2016 Tomáš Mráz [email protected] 1.0.1e-46

correction d'une fuite de mémoire de 1 octet dans l'analyse pkcs12 (#1229871)
documenter quelques options de la commande speed (#1197095)

Jeu 14 janvier 2016 Tomáš Mráz [email protected] 1.0.1e-45

corriger les horodatages de haute précision dans l'autorité d'horodatage

Lun 21 décembre 2015 Tomáš Mráz [email protected] 1.0.1e-44

correction CVE-2015-7575 - interdire l'utilisation de MD5 dans TLS1.2

Ven 04 décembre 2015 Tomáš Mráz [email protected] 1.0.1e-43

correction CVE-2015-3194 - crash de vérification de certificat avec paramètre PSS manquant
correction CVE-2015-3195 - Fuite de mémoire X509_ATTRIBUTE
correction CVE-2015-3196 - condition de concurrence lors de la gestion de l'indice d'identité PSK

Mar 23 juin 2015 Tomáš Mráz [email protected] 1.0.1e-42

Mettre à jour :
J'ai donc trouvé un travail autour de cela.
Fondamentalement, un collègue lisait sur le problème et a vu des articles sur la prise en charge de RHEL openssl pour le chiffrement ECC/ECDH n'étant pas à 100% pour une raison quelconque.

Nous avons essayé la demande à l'URL en désactivant explicitement les chiffrements ECDH (en ajoutant la négation du script openssl lui-même, c'est-à-dire openssl s_client -connect 10.85.103.218:8443 -cipher 'DEFAULT:!ECDH')

Nous avons pu nous connecter avec succès.

Voici la liste de chiffrement par défaut pour l'openssl sur Ubuntu 14.04
ECDH+ AESGCM:DH+AESGCM :ECDH+AES256:DH+AES256:ECDH+AES128:DH+ AES:ECDH+HIGH :DH+ HIGH:ECDH+3DES :DH+3 DES:RSA+AESGCM :RSA+ AES:RSA+HIGH :RSA +3DES : !aNULL : !eNULL : !MD5

Donc, avec cette connaissance, j'ai utilisé pyopenssl pour imprimer mes chiffrements SSL par défaut et supprimé explicitement chaque chiffrement ECDH de la chaîne. Est-ce que cela a bien été fait dans le bloc pour importer urllib3 à partir du package de requêtes (c'est-à-dire avant de commencer à faire des requêtes réelles) voici quelque chose de similaire :
https://github.com/kennethreitz/requests/issues/1308

Je me rends compte qu'il peut y avoir des risques de sécurité pour cette action, mais au moins cela nous fait avancer et nous éclaire davantage.

Pourquoi ces chiffrements particuliers semblent être un problème pour le RHEL, je n'en ai aucune idée.

J'essaierai quand j'aurai plus de temps pour voir quels changements RHEL particuliers ont pu introduire cela et lire davantage sur le but.

Quelqu'un en sait-il plus sur les chiffrements en général ?

J'ai le même problème... ARG...

La frustration de @lukas-gitl ne vous aidera pas à résoudre le problème. Nous fournir des informations sur votre environnement (de préférence une partie - sinon la totalité - des informations que nous avons demandées à Lekinho ci-dessus) vous aidera.

@ sigmavirus24 Excuses. Je voulais fournir plus d'informations, puis j'ai été écarté (puisque je n'avais pas le temps pour cela). J'utilise Ubuntu 14.04, python 2.7.6 et la dernière version des requêtes sur pip. Cela se produit lorsque j'essaie d'accéder en tant que point de terminaison API Gateway (ils peuvent être assez restrictifs).

J'ai essayé de supprimer le virtualenv et de le régénérer, mais malheureusement, cela ne l'a pas résolu.

Faites-moi savoir ce dont vous avez besoin d'autre. Je suis passé à nodejs pour le moment mais je serais heureux d'aider à une résolution.

@ lukas-gitl Il est fort probable que le serveur que vous contactez nécessite des chiffrements que vous n'offrez pas ou des versions TLS que vous n'offrez pas. Cela peut être lié à l'OpenSSL que vous avez installé. Vous devriez également essayer d'exécuter pip install requests[security] : vous rencontrez peut-être des problèmes avec SNI.

Ouais, j'ai déjà essayé ça aussi. Permettez-moi de mettre un script de test rapide ensemble ici afin que nous soyons sur la même page.

virtualenv -p /usr/bin/python2.7 env
source env/bin/activer
demandes d'installation pip
demandes d'installation pip [sécurité]
echo 'requêtes d'importation' >> test.py
echo 'requests.get("https://API_ID.execute-api.us-west-2.amazonaws.com/ENV/ENPOINT")' >> test.py
python test.py

Et quelle erreur spécifique voyez-vous?

.../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:318: SNIMissingWarning: An HTTPS request has been made, but the SNI (Subject Name Indication) extension to TLS is not available on this platform. This may cause the server to present an incorrect TLS certificate, which can cause validation failures. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#snimissingwarning. SNIMissingWarning .../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:122: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning. InsecurePlatformWarning Traceback (most recent call last): File "test.py", line 2, in <module> requests.get("https://sbsz8eqowe.execute-api.us-west-2.amazonaws.com/dev/segment_to_s3_webhook") File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure```

Je suis donc essentiellement obligé de mettre à jour vers une version ultérieure de python?

Ok, ces deux avertissements suggèrent que vos requêtes n'utilisent pas réellement les extensions de requests[security]. Cela suggère fortement que le Python que vous exécutez n'est _pas_ celui que vous avez installé dans votre environnement virtuel : l'extension requests[security] devrait supprimer ces avertissements.

@lukas-gitl, veuillez consulter mes notes ci-dessus.
As-tu accès au serveur ? comparer la liste des chiffrements par défaut pour le serveur et le client.
Il est fort probable que l'un d'entre eux ne supporte pas le premier ensemble de chiffrements dans l'autre, d'où l'erreur.

Vous pouvez vérifier les chiffrements par défaut avec un script simple comme celui que j'ai utilisé ici :

!/usr/bin/python

importer système
importer le système d'exploitation
importer SSL
imprimer(ssl.OPENSSL_VERSION)
sys.path.insert(1, os.path.abspath(os.path.join(os.getcwd(), 'lib')))
sys.path.append('/usr/local/lib/python2.7/dist-packages')
demandes d'importation
à partir de requests.packages.urllib3.contrib importer pyopenssl
pyopenssl.inject_into_urllib3()
imprimer pyopenssl.DEFAULT_SSL_CIPHER_LIST

Ok, maintenant je suis vraiment confus. Le message d'erreur provient de l'environnement virtuel. Alors, comment ceux-ci pourraient-ils provenir de là alors que j'exécute à partir d'un environnement python différent?

J'ai donc essayé pip install pyopenssl ndg-httpsclient pyasn1 au lieu de pip install requests[security] et ça a marché...

Aha, je soupçonne que votre pip est trop vieux pour gérer les extras.

Ah, putain. Ça explique beaucoup. Merci beaucoup pour votre aide!

J'ai rencontré le même problème ici, je devais envoyer une requête GET en suivant le code :
requests.get('https://mdskip.taobao.com/core/initItemDetail.htm?itemId=530444505608&showShopProm=false&queryMemberRight=true&isRegionLevel=false&tmallBuySupport=true&addressLevel=2&sellerPreview=false&isForbidBuyItem=false&cachedTimestamp=1466835924196&offlineShop=false&household=false&tryBeforeBuy=false&isSecKill=false&service3C=false&isApparel=true&isUseInventoryCenter=false&cartEnable=true&isAreaSell=false&callback=setMdskip&timestamp=1466841669969&isg=Al9faN3XWRpIf6UEoQ88UH/1b7np0rNm&ref=https%3A%2F%2Fs.taobao.com%2Fsearch%3Fq%3D%25E6%258B%2589%25E5%25A4%258F%25E8%25B4%259D%25E5%25B0%2594%26imgfile%3D%26commend%3Dall%26ssid%3Ds5-e%26search_type%3Ditem%26sourceId%3Dtb.index%26spm%3Da21bo.50862.201856-taobao-item.1%26ie%3Dutf8%26initiative_id%3Dtbindexz_20160625')

malheureusement, j'ai reçu les informations d'erreur:
Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

J'ai essayé de préparer l'installation d'openssl, la mise à niveau de l'openssl, l'installation de pip --upgrade pip, les demandes d'installation de pip, la demande d'installation de pip [sécurité], mais cela n'a pas fonctionné.

Cependant, lorsque je tape openssl version j'ai OpenSSL 0.9.8zh 14 Jan 2016 , je ne sais pas si tout va bien.

Y a-t-il quelqu'un qui pourrait m'aider?

@ jschwinger23 Pouvez-vous également exécuter pip install pyopenssl ndg-httpsclient pyasn1 s'il vous plaît ?

@Lukasa Merci pour votre réponse. J'ai reconfirmé que je les avais installés:

$ pip install pyopenssl ndg-httpsclient pyasn1 Requirement already satisfied (use --upgrade to upgrade): pyopenssl in /System/Library/Frameworks/Python.framework/Versions/2.7/Extras/lib/python Requirement already satisfied (use --upgrade to upgrade): ndg-httpsclient in /Library/Python/2.7/site-packages Requirement already satisfied (use --upgrade to upgrade): pyasn1 in /Library/Python/2.7/site-packages

mais le code est toujours en panne.

Quoi qu'il en soit, j'ai compris que tout se passait bien en Python3 et je suis heureux de pouvoir coder en python3.
Merci beaucoup.

J'ai suivi les instructions ci-dessus, mais je rencontre toujours ce problème

``` Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

des idées?
``````

@rohanpai Il est probable que vous n'ayez aucun chevauchement de chiffrement, ou que le serveur distant ne soit pas satisfait des versions que vous proposez, ou que vous soyez censé fournir un certificat client et que vous ne le soyez pas. Difficile de donner des conseils plus précis. Essayez ceci pour étudier le problème.

Sur Ubuntu 14.04LTS, je devais faire ceci :

sudo pip install ndg-httpsclient pyasn1 --upgrade

Notez que dans Ubuntu, il n'est pas possible de mettre à niveau/supprimer pyopenssl car il appartient au système d'exploitation.

La solution de Markstrefford a également fonctionné pour moi sur mac os sierra

La solution de @markstrefford a également fonctionné pour moi.

Juste un avertissement pour tous ceux qui utilisent OpenSSL 1.1 :
Vous rencontrerez également ce problème, même en forçant les adaptateurs TLS, lorsque le serveur distant propose des courbes elliptiques comme première option.
La cause est : http://bugs.python.org/issue29697

Salut les gars! J'ai le même problème avec le serveur suivant https://34.200.105.231/SID/Service.svc?wsdl . J'ai tout essayé et je saute de et vers les 2 mêmes erreurs:

• requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)
• requests.exceptions.SSLError: EOF occurred in violation of protocol (_ssl.c:661)

Des idées? @Lukasa , je vois quelques problèmes avec le certificat, mais il semble que cela ne devrait pas être si grave : https://sslanalyzer.comodoca.com/?url=34.200.105.231

Le certificat ne causera généralement pas ce problème : ce problème est causé par le serveur qui nous raccroche au nez, il est donc généralement le résultat d'une incompatibilité de suite de chiffrement. Dans ce cas, c'est exactement ce qui se passe comme vous pouvez le voir ici .

Il s'agit d'un serveur qui, franchement, ne devrait jamais être exposé à Internet ouvert. Il n'existe aucune méthode sécurisée pour communiquer avec ce serveur : aucune, zéro. C'est pourquoi la poignée de main échoue : les requêtes n'acceptent que les suites de chiffrement modernes et aucune suite de chiffrement moderne n'est disponible sur ce serveur. La meilleure option est TLS_RSA_WITH_3DES_EDE_CBC_SHA , une option que nous avons supprimée car elle est vulnérable aux attaques pratiques sur le transfert de données à grande échelle.

Si ce serveur vous appartient, veuillez le mettre à niveau vers une meilleure implémentation TLS ou modifier les paramètres. Sinon, mon premier conseil est de reconsidérer la possibilité de parler à ce serveur. Si vous le devez, vous pouvez utiliser le code ici , mais je vous recommande fortement de faire pression sur l'opérateur du serveur pour qu'il répare ce gâchis.

@Lukasa - merci d'avoir travaillé avec tout le monde ! J'ai lu et essayé la plupart de ceci

Publier

Lors de l'exécution d'un script sous Windows, tout fonctionne.
Lors de l'exécution du script sur OSX, recevez :

raise SSLError(e, request=request)
requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)

Je ne suis pas convaincu que ce n'est pas le serveur lui-même, mais j'apprécierais toute aide supplémentaire pour confirmer et/ou me sortir de ce terrier de lapin. Ce serait une énorme victoire de le faire fonctionner.

Spécificités OSX :

• PythonPython 2.7.10
• OpenSSL OpenSSL 1.1.1-dev xx XXX xxxx (compilé via GitHub)
• utiliser PIP pour installer

Tentatives faites

• pyopenssl désinstallé, requêtes, requêtes [sécurité], cryptographie
• installé contre env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install --force-reinstall --no-cache-dir {PACKAGE}

Je ne suis pas sûr à 100% que l'installation contre l'openssl ait réellement fait quoi que ce soit, car cela semblait agir de la même manière que l'installation sans (par exemple, la vitesse et la messagerie semblaient toutes identiques)

Comme indiqué dans un autre fil (ci-dessus) se connectant directement via openSSL appears pour être heureux ?

openssl s_client -connect XXX.102.7.147:443
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 198 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1493384325
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---

Euh ... OpenSSL est techniquement correct, mais OpenSSL n'a négocié aucun chiffrement (c'est-à-dire qu'il semble avoir négocié SSL_NULL_WITH_NULL_NULL . Pouvez-vous exécuter ssllabs sur votre serveur et vérifier quelles suites de chiffrement il prend en charge?

@Lukasa Ce n'est pas exposé sur Internet, y a-t-il une sonde de ligne de commande que je pourrais déclencher et qui pourrait vous fournir un aperçu adéquat?

Vous pouvez essayer cipherscan .

@Lukasa l'a installé ... son jeu est bancal (pas de sortie, je le regarde) ... je posterai si je trouve quelque chose qui pourrait être transmis. Merci pour les conseils !

@Lukasa merci beaucoup pour votre aide - n'a jamais fait fonctionner le cipherscan - mais a corrigé nos problèmes. Cela n'avait rien à voir avec tout cela, et c'était une stupide inadéquation IP dans nos environnements... leçons apprises ! Merci ...

Pas de problème du tout, content que ça s'arrange !

streamlink -l debug h ttpstream://https :// www.arconaitv.us/stream.php?id=43 pire
[cli][info] streamlink s'exécute en tant que root ! Fais attention!
[cli][déboguer] OS : Linux-4.14.0-041400-generic-x86_64-with-Ubuntu-14.04-trusty
[cli][débogage] Python : 2.7.6
[cli] [débogage] Lien de diffusion : 0.13.0+27.g2ff314c
[cli] [debug] Requêtes (2.19.1), Chaussettes (1.6.7), Websocket (0.48.0)
[cli][info] Plugin correspondant trouvé http pour l'URL h ttpstream://https :// www.arconaitv.us/stream.php?id=43
[plugin.http][debug] URL= https://www.arconaitv.us/stream.php?id=43; paramètres={}
[cli][info] Flux disponibles : en direct (le pire, le meilleur)
[cli][info] Flux d'ouverture : en direct (http)
[cli][debug] Pré-mise en mémoire tampon de 8192 octets
[cli][info] Premier joueur : /usr/bin/vlc
[cli][debug] Écriture du flux dans la sortie
[cli][info] Stream terminé
[cli][info] Fermeture du flux actuellement ouvert..

essayé mais pas de chance

atlast got it working tvplayer sur pc local. J'ai installé Tinyproxy sur mon PC local mais dans vps httpproxy xxxx ne fonctionne pas.
est-ce que tinyproxy est ok ou j'ai besoin d'un autre serveur proxy à installer sur mon ordinateur local.

tinyproxy.txt

Salut @maanich , cela ne semble pas être directement lié à ce problème, ou être un rapport de défaut pour les demandes, ce à quoi ce suivi de problème est réservé. Si vous avez des questions sur la configuration du système, celles-ci seront mieux traitées sur une plate-forme comme StackOverflow . Merci!

streamlink --https-proxy " http://8xxxx :8000/" --tvplayer-email [email protected] --tvplayer-password vcvdf3 --http-no-ssl-verify https://tvplayer.com/watch /itv meilleur --player-no-close --stdout | /var/tmp/youtube/ffmpeg -y -i pipe:0 -vcodec copy -acodec copy -flags -global_header -hls_flags delete_segments -hls_time 10 -hls_list_size 6 /mnt/hls/arc.m3u8
ffmpeg version 4.0-statique https://johnvansickle.com/ffmpeg/ Copyright (c) 2000-2018 les développeurs FFmpeg
construit avec gcc 6.3.0 (Debian 6.3.0-18+deb9u1) 20170516
configuration : --enable-gpl --enable-version3 --enable-static --disable-debug --disable-ffplay --disable-indev=sndio --disable-outdev=sndio --cc=gcc-6 -- enable-libxml2 --enable-fontconfig --enable-frei0r --enable-gnutls --enable-gray --enable-libaom --enable-libfribidi --enable-libass --enable-libfreetype --enable-libmp3lame -- enable-libopencore-amrnb --enable-libopencore-amrwb --enable-libopenjpeg --enable-librubberband --enable-libsoxr --enable-libspeex --enable-libvorbis --enable-libopus --enable-libtheora --enable -libvidstab --enable-libvo-amrwbenc --enable-libvpx --enable-libwebp --enable-libx264 --enable-libx265 --enable-libxml2 --enable-libxvid --enable-libzimg
libavutil 56. 14.100 / 56. 14.100
libavcodec 58. 18.100 / 58. 18.100
libavformat 58. 12.100 / 58. 12.100
libavdevice 58. 3.100 / 58. 3.100
libavfilter 7. 16.100 / 7. 16.100
libswscale 5. 1.100 / 5. 1.100
libswresample 3. 1.100 / 3. 1.100
libpostproc 55. 1.100 / 55. 1.100
[console][info] streamlink s'exécute en tant que root ! Fais attention!
[console][info] Plugin TVplayer correspondant trouvé pour l'URL https://tvplayer.com/watch/itv
Erreur: impossible URL ouverte: https://live.tvplayer.com/stream.m3u8?id=204&Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cCo6XC9cL2xpdmUudHZwbGF5ZXIuY29tXC9zdHJlYW0ubTN1OD9pZD0yMDQiLCJDb25kaXRpb24iOnsiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE1MjkwNTc0OTR9LCJJcEFkZHJlc3MiOnsiQVdTOlNvdXJjZUlwIjoiNjIuMjEwLjE0Mi42NlwvMzIifX19XX0_&Signature=mHOteYcUu4QsbGD N0E ~ 7meDUGT8VN7bVOBAHa-0Mk6ROA9XHYx3aIAZMAo3dFjOGuWk-3MszJzRFHdv ~ ~ -CCsmX3D8XQa2zvzfuIWfMAT yDshroXBN25iW6ZJ0-7lGla00jMTUpm5sW-uDy18OkiBWgGvDVas2Lz-EW ~ 5 LTw2YWvEpqkvRB9OpcsHJj9RRQLuDVjwYKXwKvHTJmB1J ~sGE3aigaL7AZyBaIAUMcpk-xYMpDuPV9BsBN9AT397lFfRPFt155u~yeBHZ4JlUN2GINUBt0-CzGuYVq3dsO kYYEZJo9cQTVhArpo7ek03VbDP5egtCM8obN63AEkA__&Key-Pair-Id=APKAJGWDVCU5SXAPJELQ (erreur client 403)
pipe:0 : données non valides trouvées lors du traitement de l'entrée

des conseils s'il vous plaît n quel serveur proxy est bon pour streamlink le cas échéant