Requests: https GET 요청이 "핸드셰이크 실패"와 함께 실패합니다.

에 만든 2014년 04월 26일 · 83코멘트 · 출처: psf/requests

아마도 #1083과 관련이 있을 것입니다. 이 특정 사이트/페이지 https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html $에 대한 표준 requests.get() #$ 결과:

>>> import requests
>>> requests.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/api.py", line 55, in get
    return request('get', url, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/api.py", line 44, in request
    return session.request(method=method, url=url, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
requests.exceptions.SSLError: [Errno 1] _ssl.c:504: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

request-toolbelt 의 SSLAdapter 를 사용하여 다양한 ssl 버전을 시도하면 모두 실패합니다. 다음 역추적을 참조하세요.

TLSv1:

>>> adapter = SSLAdapter('TLSv1')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
requests.exceptions.SSLError: [Errno 1] _ssl.c:504: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv3:

>>> adapter = SSLAdapter('SSLv3')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
requests.exceptions.SSLError: [Errno 1] _ssl.c:504: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv2:

>>> adapter = SSLAdapter('SSLv2')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/adapters.py", line 378, in send
    raise ConnectionError(e)
requests.exceptions.ConnectionError: HTTPSConnectionPool(host='docs.apitools.com', port=443): Max retries exceeded with url: /2014/04/24/a-small-router-for-openresty.html (Caused by <class 'socket.error'>: [Errno 54] Connection reset by peer)

마지막 것은 다른 것들과 다른 Connection reset by peer 오류를 제공하지만 어쨌든 SSLv2는 서버에서 지원되지 않는다고 확신합니다.

재미를 위해 마지막 요청에서도 좀 더 적절한 헤더를 전달하려고 했습니다.

>>> headers = {
...     'Accept': u"text/html,application/xhtml+xml,application/xml",
...     'User-Agent': u"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36",
...     'Accept-Encoding': u"gzip,deflate",
...     'Accept-Language': u"en-US,en;q=0.8"
... }
>>> adapter = SSLAdapter('SSLv2')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html', headers=headers)
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/Users/jaddison/.virtualenvs/techtown/lib/python2.7/site-packages/requests/adapters.py", line 378, in send
    raise ConnectionError(e)
requests.exceptions.ConnectionError: HTTPSConnectionPool(host='docs.apitools.com', port=443): Max retries exceeded with url: /2014/04/24/a-small-router-for-openresty.html (Caused by <class 'socket.error'>: [Errno 54] Connection reset by peer)

거기에 주사위도 없습니다. Mac용 Chrome의 HTTPS 연결 정보는 다음과 같습니다.

screen shot 2014-04-26 at 10 35 21 am

나는 긍정적이지 않지만 일부 인터넷 검색은 그것이 더 많은 urllib3인 암호 목록 문제일 가능성이 있음을 나타냅니다.

DEFAULT_CIPHER_LIST in pyopenssl 을 수정하려고 했지만 가져오기 오류가 발생하기 시작했습니다. 이 시점에서 모든 것이 고장난 것처럼 보였고 아직 이를 고칠 적절한 접근 방식이 없었습니다.

버전 정보:
OSX 매버릭스
파이썬 2.7.5
OpenSSL 0.9.8y 2013년 2월 5일 - ( python -c "import ssl; print ssl.OPENSSL_VERSION" 부터)
요청 2.2.1
요청 도구 벨트 0.2.0
urllib3 1.8

출처

jaddison

가장 유용한 댓글

슬프게도 이것은 귀하가 식별한 문제와 관련이 없으며 전적으로 OS X이 기본적으로 제공되는 엉터리 OpenSSL에 달려 있습니다. 버전 0.9.8y는 SSL 핸드셰이크를 수행하는 데 몇 가지 실제 문제가 있으며 일부 서버는 이를 잘 용납하지 않습니다. 내 OS X 상자에서 Python 3을 사용하면(따라서 최신 OpenSSL 사용) 문제가 없음을 알 수 있습니다.

두 가지 옵션이 있습니다.

Homebrew에서 OpenSSL을 설치한 다음 Homebrew에서 제공하는 OpenSSL과 자동으로 연결되는 새 버전의 Python 2를 Homebrew에서 설치합니다.
Homebrew에서 OpenSSL을 설치한 다음 env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install PyOpenSSL 를 실행하여 새 버전에 대해 PyOpenSSL을 설치합니다.

Lukasa 에 2014년 04월 26일

👍23 🎉5 😄5

모든 83 댓글

두 가지 옵션이 있습니다.

Homebrew에서 OpenSSL을 설치한 다음 Homebrew에서 제공하는 OpenSSL과 자동으로 연결되는 새 버전의 Python 2를 Homebrew에서 설치합니다.
Homebrew에서 OpenSSL을 설치한 다음 env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install PyOpenSSL 를 실행하여 새 버전에 대해 PyOpenSSL을 설치합니다.

Lukasa 에 2014년 04월 26일

👍23 🎉5 😄5

아, 그때 내가 청어를 따라가는 것 같았습니다. 어쨌든 OSX에 아무 것도 배포할 계획이 없습니다. 내 테스트를 Linux 가상 상자로 옮길 것 같습니다. 이 장황한 문제에 대해 사과드립니다!

jaddison 에 2014년 04월 26일

사과할 필요가 없습니다. 그 질문을 하는 것이 옳은 일이었습니다. OS X에 이 문제가 있다는 것을 아는 것은 이상하게도 구체적인 지식입니다. =)

Lukasa 에 2014년 04월 26일

👍4

알겠습니다. 실패입니다. Vagrant를 통해 Ubuntu 14.04 서버 32비트 Virtualbox 이미지를 생성했으며 이것은 SSLv2의 경우를 제외하고 모두 계속 발생합니다. 이 경우 프로토콜이 Ubuntu 14.04의 OpenSSL 버전에 포함되어 있지 않기 때문에 실패합니다(설계상 - SSLv2가 오래된 것 같습니다. 구식).

버전:
Ubuntu 14.04 32비트(Vagrant/Virtualbox 콤보를 통해)
파이썬 2.7.6
요청==2.2.1
요청 도구 벨트==0.2.0
urllib3==1.8.2

편집 : OpenSSL 버전을 잊어 버렸습니다 ...

python -c "ssl 가져오기, ssl.OPENSSL_VERSION 인쇄"
OpenSSL 1.0.1f 2014년 1월 6일

TLSv1:

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('TLSv1')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv2:

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv3')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv23:

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv23')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

아마도 이것은 암호 목록 문제입니까? 아니면 여기에 사용된 OpenSSL 버전이 여전히 문제가 있습니까?

jaddison 에 2014년 04월 26일

필요한 경우 디버깅을 돕기 위해 시간을 할애할 용의가 있습니다... 여러분이 방향을 제시한다면.

jaddison 에 2014년 04월 26일

VM을 다운로드 중입니다. ArchLinux에서는 이것을 재현할 수 없습니다.
stacktraces는 이것을 나타내지만 나는 확신하고 싶습니다: 당신은 PyOpenSSL을 사용하고 있지 않고 stdlib만 사용하고 있습니까?

t-8ch 에 2014년 04월 26일

@t-8ch 봐주셔서 감사합니다. 조금 헷갈리네요. OpenSSL은 내 삶을 정말 힘들게 만듭니다 =(

Lukasa 에 2014년 04월 26일

@t-8ch 그게 당신이 묻는다면 PyOpenSSL을 설치하지 않았습니까?

나는 pip install requests 가 HTTPS 페이지에서 requests.get('...') 를 성공적으로 호출하는 데 필요한 모든 것을 제공해야 한다고 (아마도 부정확하게) 가정했을 것입니다. 물론 대부분의 경우 작동하지만 어떤 이유로 이 사이트에서는 작동하지 않습니다.

jaddison 에 2014년 04월 26일

👍2

@jaddison _대부분 _ 그렇습니다. 불행히도, Python 2.7s 표준 라이브러리는 매우 형편없고 SNI와 같은 일부 기능을 지원하지 않습니다.

이게 SNI인가...

Lukasa 에 2014년 04월 26일

@jaddison 배후 에는 두 가지 다른 코드 경로가 있습니다. 그것들에 대해 신경 쓸 필요는 없지만 디버깅할 때 알면 도움이 됩니다.

그러나 이제 우분투에서 이것을 재현할 수 있습니다. 그러나 Py2에만 해당됩니다. Py3에서는 모든 것이 정상입니다.
@Lukasa 가 맞다고 생각하고 클라이언트가 SNI를 사용하지 않을 때 서버가 실패합니다.

t-8ch 에 2014년 04월 26일

SNI가 없으면 해당 서버에 따라 여러 가지 다른 방식으로 실패하는 것이 귀찮습니다.

Lukasa 에 2014년 04월 26일

나는 OpenSSL 1.0.1f와 1.0.1g(https://www.openssl.org/news/openssl-1.0.1-notes.html) 사이의 이러한 변화를 알아차렸습니다.

Add TLS padding extension workaround for broken servers.

편집: 아, 신경 쓰지 마세요. 버그가 Py 2와 3 사이에서 달라서는 안 된다고 생각합니다.

jaddison 에 2014년 04월 26일

@jaddison 이것이 SNI인지 테스트하려면 Python 2에 대한 SNI 요구 사항을 설치 해야 합니다.

Lukasa 에 2014년 04월 26일

@루카사 말이 맞았다. 비교하다:

$ openssl s_client -connect docs.apitools.com:443                              
CONNECTED(00000003)
139846853338768:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:762:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 517 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

$  openssl s_client -connect docs.apitools.com:443 -servername docs.apitools.com
... happy handshake here

t-8ch 에 2014년 04월 26일

👍1

자세히 설명하자면: 두 번째 명령은 openssl s_client 의 SNI 기능을 활성화합니다.

a) python3으로 전환 b) 추가 종속성을 설치할 수 있습니다.
stdlib는 현재 SNI를 수행할 방법이 없습니다.

t-8ch 에 2014년 04월 26일

빠른 피드백 감사합니다. 버그가 없어서 이글을 닫겠습니다... 다시..

jaddison 에 2014년 04월 26일

이봐, 고마워 얘들아 !! 내 Mac과 붐에 python3을 설치했는데 작동합니다.

yetesh 에 2014년 11월 16일

OS X 10.9.5, Python 2.7.7 및 OpenSSL 0.9.8zc에서 이 문제를 경험했다고 말하고 싶습니다.

다음과 같은 방법으로 핸드셰이킹 문제를 해결할 수 있었습니다.

brew install OpenSSL 를 통해 내 컴퓨터에 최신 OpenSSL 설치
새 OpenSSL( env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install cryptography )에 대해 링크된 cryptography 패키지 컴파일 및 설치
pip install requests[security] 를 수행하여 SNI 지원으로 요청 설치

Microserf 에 2015년 02월 23일

👍5 ❤1

@Microsrf님, 감사합니다. 나는 거의 동일한 사양(10.9.5, Python 2.7.6은 Homebrew를 통해 설치되었지만 OpenSSL 0.9.8zg에서 제공하는 시스템으로 컴파일됨)을 실행하고 있으며 이것은 requests 를 시작하고 Django를 실행하는 전체 프로세스였습니다. :

brew install openssl

OpenSSL의 새로운 설치에 대해 컴파일된 많은 SNI 항목 으로 requests 를 설치하십시오. [security] 옵션은 단순히 pyopenssl ndg-httpsclient pyasn1 를 설치합니다.

env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install requests[security] urllib3

그리고 우리는 갈 수 있습니다.

"""
This may or may not be needed. See:
https://urllib3.readthedocs.org/en/latest/security.html#openssl-pyopenssl
"""
# from urllib3.contrib import pyopenssl
# pyopenssl.inject_into_urllib3()

import requests
# r = requests.get(...)

brianlittmann 에 2015년 08월 21일

👍2

우분투에서 이것을 작동시키는 방법에 대한 확실한 대답이 있습니까? 이 문제가 발생하고 있으며 여기에서 유일한 대답은 Mac에서 이 문제를 작동시키는 방법에 관한 것 같습니다. 전체 코드베이스를 python 3으로 업그레이드하는 것은 선택 사항이 아닙니다.

lsemel 에 2015년 09월 25일

알겠습니다. 방금 제 질문에 답했을 수도 있습니다. 내가 한 일은 다음과 같이 요약됩니다.

sudo apt-get install libffi-dev
pip install pyOpenSSL ndg-httpsclient pyasn1

lsemel 에 2015년 09월 25일

👍4

@lsemel 감사합니다. 덕분에 시간이 많이 절약되었습니다.

wiltzius 에 2016년 03월 17일

@lsemel 확실합니까? Ubuntu 15.10에서 시도했지만 여전히 Python 2.7.10에서 작동하지 않습니다.

Travis CI의 Python 2.7에서 작동합니다.
https://travis-ci.org/playing-se/swish-python

MadSpindel 에 2016년 04월 01일

이제 작동합니다! 간단히 pyOpenSSL을 제거했습니다.
pip uninstall pyOpenSSL

MadSpindel 에 2016년 04월 02일

👍3

Python 버전이 2.7.9 미만인 경우에만 pyopenssl.inject_into_urllib3() 해야 합니까? pyOpenSSL은 Python 버전이 2.7.10인 경우 Ubuntu 및 Windows에서 문제를 해결하는 것 같습니다.

MadSpindel 에 2016년 04월 02일

PyOpenSSL은 아무 것도 깨뜨리지 않아야 합니다. 그렇다면 보고해야 하는 버그입니다.

Lukasa 에 2016년 04월 02일

나는 이것을 조사해야하지만 Python 버전이 2.7.9 이상인 경우 urllib3에 pyopenssl을 주입해야 할 좋은 이유가 있습니까?

나는 다음과 같은 것을 생각하고 있다.

# Check if Modern SSL with SNI support
try:
    from ssl import SSLContext
    from ssl import HAS_SNI
except ImportError:
    # Attempt to enable urllib3's SNI support, if possible
    try:
        from .packages.urllib3.contrib import pyopenssl
        pyopenssl.inject_into_urllib3()
    except ImportError:
        pass

MadSpindel 에 2016년 04월 02일

네, 자주 있습니다. 예를 들어 OS X에서 대부분의 Python은 버전 0.9.8zg인 시스템 OpenSSL에 대해 링크합니다. 그러나 PyOpenSSL은 훨씬 더 새로운 OpenSSL(1.0.2)과 연결됩니다. 따라서 PyOpenSSL을 사용하면 보안이 크게 향상됩니다.

또한 PyOpenSSL을 사용하면 OpenSSL에 훨씬 더 쉽게 액세스할 수 있으므로 더 효과적으로 보호할 수 있습니다.

Lukasa 에 2016년 04월 02일

좋아, 나는 이제 이것을 조금 가지고 놀았다.

pyopenssl에서는 작동하지만 ndg-httpsclient가 설치된 경우에는 작동하지 않습니다.

그러나 다음 경고를 표시하는 pyasn1을 제거하면 ndg-httpsclient에서 작동하도록 할 수 있습니다.

/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/ssl_peer_verification.py:25: UserWarning: SubjectAltName support is disabled - check pyasn1 package installation to enable
  warnings.warn(SUBJ_ALT_NAME_SUPPORT_MSG)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)

Python 2.7.10이 설치된 Ubuntu 15.10 및 Windows 10에서 동일한 동작.

MadSpindel 에 2016년 04월 02일

ndg-httpsclient가 없으면 PyOpenSSL 지원이 사용되지 않기 때문입니다.

Lukasa 에 2016년 04월 02일

예, SubjectAltName이 비활성화된 경우 작동하는 이유를 파헤쳐야 합니다. 어떤 아이디어라도?

MadSpindel 에 2016년 04월 02일

거의 확실하게 문제는 각 경우에 다른 OpenSSL을 사용하고 있다는 것입니다.

Lukasa 에 2016년 04월 03일

Ubuntu 14.04 상자와 Python 2.7.11에서 동일한 문제가 발생했습니다.

SNI에서 왔습니다

나를 위해 일한 것은 다음과 같습니다.

제거 요청
urllib3 제거
다양한 암호화 종속성 설치
urllib3 설치
install urllib3[secure] # 안전을 위해
설치 요청

urllib3 또는 제거 없이 작동하지 않는 요청에 대한 설치 시간 확인이 있었던 것 같습니다.

jvanasco 에 2016년 06월 01일

👍1

@jvanasco 해당 패키지를 설치하는 데 무엇을 사용하고 있습니까? 나는 핍을 가정합니다. urllib3와 요청을 별도로 설치하는 이유는 무엇입니까?

sigmavirus24 에 2016년 06월 01일

글쎄, 나는 virtualenv에 urllib3가 필요했지만 ... pip 및 easy_install에 의해 설치된 요구 사항을 시도하고 얻기 위해 설치했습니다. (저는 둘 다 사용했습니다)

웹 인덱서가 있고 몇 개의 URL이 손상되었습니다. 나는 깨진 것들을 시도하기 위해 빠른 스크립트를 작성했고, 작동할 때까지 SSL 문제에 대한 urllib3 지침에서 패키지를 계속 재설치/삭제+설치했습니다.

2016년 5월 31일 오후 7시 25분에 Ian Cordasco [email protected] 이 다음과 같이 썼습니다.

@jvanasco 해당 패키지를 설치하는 데 무엇을 사용하고 있습니까? 나는 핍을 가정합니다. urllib3와 요청을 별도로 설치하는 이유는 무엇입니까?

—
당신이 언급되었기 때문에 이것을 받는 것입니다.
이 이메일에 직접 답장하거나 GitHub에서 보거나 스레드를 음소거하세요.

jvanasco 에 2016년 06월 01일

여전히 이 문제가 표시되며 제안된 해결 방법을 시도했습니다.
내 파이썬 버전을 2.7.11로 업데이트했습니다.
3개의 추가 패키지를 설치했습니다.

@jvanasco 가 제안한 제거/설치 시퀀스를 시도했지만 여전히 SSLError가 발생했습니다.
또한 Ubuntu 14.04를 사용하면 불행히도 OpenSSL 업데이트가 없으므로 여기에 게시된 해결 방법을 사용해야 하며 운이 없습니다.

당신이 취한 추가 조치가 있습니까?

감사 해요

Lekinho 에 2016년 06월 06일

@Lekinho 문제가 있는 도메인을 테스트하는 짧은 테스트 스크립트를 만드는 것이 도움이 되었다는 것을 알았습니다.

그냥:

 import requests
 r = requests.get(bad_url)
 print r.__dict__

jvanasco 에 2016년 06월 07일

@Lekinho 코드의 요청에서 pyopenssl을 추출할 수 있습니다.

try:
    from requests.packages.urllib3.contrib import pyopenssl
    pyopenssl.extract_from_urllib3()
except ImportError:
    pass

MadSpindel 에 2016년 06월 07일

@Lekinho Python 2.7.11에서 이 문제가 계속 발생한다면 원격 서버가 요청에 사용되는 TLS 설정을 지원하지 않을 가능성이 높습니다. 문제의 서버를 공용 인터넷에서 사용할 수 있습니까? 그렇다면 URL을 알려주시겠습니까?

Lukasa 에 2016년 06월 07일

제안한 대로 pyopenssl 가져오기를 시도했습니다.
불행히도 이것은 공개적으로 액세스할 수 없습니다.
그러나 서버에 있는 openSSL 버전에 대한 정확한 세부 정보가 있습니다.
기본적으로 우리는 redhat 가상 머신에서 실행합니다. 모든 것이 작동할 때 이 openSSL을 사용했습니다. openssl-1.0.1e-42.el6_7.4.x86_64

그런 다음 우리는 redhat 업그레이드를 수행했으며 openssl에 대한 업데이트가 있었습니다. openssl-1.0.1e-48.el6_8.1.x86_64

이 버전은 우분투 14.04에서 openssl을 사용할 때 항상 잘못된 핸드셰이크 문제가 있습니다.

해결 방법이 문제를 해결하는 데 도움이 되었는지 확인하기 위해 시도할 수 있는 공개 URL이 있습니까? 그리고 제가 가지고 있는 고유한 조합이 문제인가요?

REST 요청이 브라우저를 통해 전송될 때 동일한 시스템은 문제가 없습니다(즉, 우분투 openssl 없이).

감사 해요

Lekinho 에 2016년 06월 07일

rpm -q --changelog openssl 의 출력을 제공할 수 있습니까?

Lukasa 에 2016년 06월 07일

[ admin@leke-2-2-8-11 ~]$ rpm -q --changelog openssl

2016년 5월 2일 월요일 Tomáš Mráz [email protected] 1.0.1e-48.1
CVE-2016-2105 수정 - base64 인코딩에서 가능한 오버플로
CVE-2016-2106 수정 - EVP_EncryptUpdate()에서 가능한 오버플로
CVE-2016-2107 수정 - 스티치된 AES-NI CBC-MAC의 패딩 오라클
CVE-2016-2108 수정 - ASN.1 인코더의 메모리 손상
CVE-2016-2109 수정 - BIO에서 ASN.1 데이터를 읽을 때 DoS 가능
CVE-2016-0799 수정 - BIO_printf의 메모리 문제
2016년 2월 24일 수요일 Tomáš Mráz [email protected] 1.0.1e-48
CVE-2016-0702 수정 - 모듈식 지수에 대한 부채널 공격
CVE-2016-0705 수정 - DSA 개인 키 구문 분석에서 이중 무료
CVE-2016-0797 수정 - BN_hex2bn 및 BN_dec2bn의 힙 손상
2016년 2월 16일 화요일 Tomáš Mráz [email protected] 1.0.1e-47
CVE-2015-3197 수정 - SSLv2 암호 제품군 시행
일반 TLS 방법에서 SSLv2 비활성화
2016년 1월 15일 금요일 Tomáš Mráz [email protected] 1.0.1e-46
pkcs12 구문 분석에서 1바이트 메모리 누수 수정(#1229871)
속도 명령의 일부 옵션 문서화(#1197095)
2016년 1월 14일 목 Tomáš Mráz [email protected] 1.0.1e-45
타임스탬프 기관에서 고정밀 타임스탬프 수정
2015년 12월 21일 월 Tomáš Mráz [email protected] 1.0.1e-44
CVE-2015-7575 수정 - TLS1.2에서 MD5 사용 금지
2015년 12월 4일 금요일 Tomáš Mráz [email protected] 1.0.1e-43
CVE-2015-3194 수정 - PSS 매개변수가 누락된 인증서 확인 충돌
CVE-2015-3195 - X509_ATTRIBUTE 메모리 누수 수정
CVE-2015-3196 수정 - PSK ID 힌트 처리 시 경쟁 조건
2015년 6월 23일 화요일 Tomáš Mráz [email protected] 1.0.1e-42
CVE-2015-1791 수정의 실수로 인한 회귀 수정
2015년 6월 11일 목 Tomáš Mráz [email protected] 1.0.1e-41
CVE-2015-1791에 대한 개선된 수정 사항
CVE-2015-0209의 누락된 부분을 추가하여 악용할 수는 없지만 정확성을 위해 수정
2015년 6월 9일 화요일 Tomáš Mráz [email protected] 1.0.1e-40
CVE-2014-8176 수정 - DTLS 버퍼링 코드에서 유효하지 않은 사용 가능
CVE-2015-1789 수정 - X509_cmp_time에서 범위를 벗어난 읽기
CVE-2015-1790 수정 - EncryptedContent가 누락된 PKCS7 충돌
CVE-2015-1791 수정 - 경쟁 조건 처리 NewSessionTicket
CVE-2015-1792 수정 - CMS가 알 수 없는 해시 함수로 무한 루프를 확인합니다.
2015년 6월 2일 화요일 Tomáš Mráz [email protected] 1.0.1e-39
CVE-2015-3216 수정 - segfault를 일으킬 수 있는 RAND 잠금의 회귀
다중 스레드 응용 프로그램에서 읽기
2015년 5월 25일 월요일 Tomáš Mráz [email protected] 1.0.1e-38
CVE-2015-4000 수정 - 클라이언트에 대한 logjam 공격 방지 - 제한
DH 키 크기를 최소 768비트로 설정합니다(향후 제한이 증가할 예정).
2015년 3월 25일 수요일 Tomáš Mráz [email protected] 1.0.1e-37
IV가
항상 96비트(32비트 고정 필드 + 64비트 호출 필드)
2015년 3월 19일 목 Tomáš Mráz [email protected] 1.0.1e-36
업스트림에 릴리스된 CVE-2015-0287에 대한 업데이트 수정
2015년 3월 18일 수요일 Tomáš Mráz [email protected] 1.0.1e-35
CVE-2015-0209 수정 - d2i_ECPrivateKey()에서 해제 후 잠재적 사용
CVE-2015-0286 수정 - ASN.1 부울 비교의 부적절한 처리
CVE-2015-0287 수정 - ASN.1 구조 재사용 디코딩 메모리 손상
CVE-2015-0288 - X509_to_X509_REQ NULL 포인터 역참조 수정
CVE-2015-0289 수정 - 잘못된 PKCS#7 데이터를 디코딩하는 NULL 역참조
CVE-2015-0292 수정 - base64 디코더의 정수 언더플로
CVE-2015-0293 수정 - SSLv2 서버에서 트리거 가능한 어설션
2015년 3월 3일 화요일 Tomáš Mráz [email protected] 1.0.1e-34
SNI 컨텍스트 전환을 처리할 때 복사 다이제스트 알고리즘
암호 모음 문서 개선 - Hubert Kario의 패치
Kerberos 서비스 및 keytab 설정에 대한 지원 추가
s_server 및 s_client
2015년 1월 13일 화요일 Tomáš Mráz [email protected] 1.0.1e-33
CVE-2014-3570 수정 - BN_sqr()의 잘못된 계산
CVE-2014-3571 수정 - dtls1_get_record()에서 가능한 충돌
CVE-2014-3572 수정 - ECDH 암호 제품군을 PFS가 아닌 상태로 다운그레이드 가능
CVE-2014-8275 수정 - 다양한 인증서 지문 문제
CVE-2015-0204 수정 - 내보내기가 아닌 RSA 임시 키 지원 제거
암호 모음 및 서버
CVE-2015-0205 수정 - 인증되지 않은 클라이언트 DH 인증서 허용 안 함
CVE-2015-0206 수정 - DTLS 레코드 버퍼링 시 메모리 누수 가능성
2014년 10월 16일 목 Tomáš Mráz [email protected] 1.0.1e-32
RSA에서 d 계산을 위해 FIPS 승인 방법 사용
2014년 10월 15일 수요일 Tomáš Mráz [email protected] 1.0.1e-31
CVE-2014-3567 수정 - 세션 티켓 처리 시 메모리 누수
CVE-2014-3513 수정 - srtp 지원에서 메모리 누수
CVE-2014-3566을 부분적으로 완화하기 위해 대체 SCSV에 대한 지원 추가
(SSL3에 대한 패딩 공격)
2014년 8월 15일 금요일 Tomáš Mráz [email protected] 1.0.1e-30
DTLS에 ECC TLS 확장 추가(#1119800)
2014년 8월 8일 금요일 Tomáš Mráz [email protected] 1.0.1e-29
CVE-2014-3505 수정 - DTLS 패킷 처리에서 doublefree
CVE-2014-3506 수정 - DTLS에서 메모리 고갈 방지
CVE-2014-3507 수정 - DTLS에서 메모리 누수 방지
CVE-2014-3508 수정 - 정보 누출을 방지하기 위해 OID 처리 수정
CVE-2014-3509 수정 - 서버 hello를 구문 분석할 때 경쟁 조건 수정
CVE-2014-3510 수정 - DTLS에서 익명(EC)DH 처리의 DoS 수정
CVE-2014-3511 수정 - 단편화를 통한 프로토콜 다운그레이드 금지
2014년 6월 16일 월 Tomáš Mráz [email protected] 1.0.1e-28
EAP-FAST 세션 재개 지원을 중단시키는 CVE-2014-0224 수정 수정
2014년 6월 6일 금요일 Tomáš Mráz [email protected] 1.0.1e-26
기본 암호 목록에서 EXPORT, RC2 및 DES 삭제(#1057520)
TLS 핸드셰이크에서 협상된 임시 키 크기 인쇄(#1057715)
SSLv2 클라이언트 hello에 ECC 암호 제품군을 포함하지 않음(#1090952)
BIO에서 암호화 실패를 올바르게 감지합니다(#1100819).
.hmac 파일이 비어 있으면 hmac 무결성 검사에 실패함(#1105567)
FIPS 모드: DSA, DH 및 RSA 키 생성에 대한 제한 만들기
길이는 OPENSSL_ENFORCE_MODULUS_BITS 환경인 경우에만 적용됩니다.
변수가 설정되었습니다
2014년 6월 2일 월 Tomáš Mráz [email protected] 1.0.1e-25
CVE-2010-5298 수정 - 해제 후 메모리 사용 가능
CVE-2014-0195 수정 - 잘못된 DTLS 조각을 통한 버퍼 오버플로
CVE-2014-0198 수정 - 가능한 NULL 포인터 역참조
CVE-2014-0221 수정 - 유효하지 않은 DTLS 핸드셰이크 패킷의 DoS
CVE-2014-0224 - SSL/TLS MITM 취약점 수정
CVE-2014-3470 수정 - 익명 ECDH를 사용할 때 클라이언트 측 DoS
2014년 5월 22일 목 Tomáš Mráz [email protected] 1.0.1e-24
secp521r1 EC 곡선에 대한 지원 다시 추가
2014년 4월 7일 월 Tomáš Mráz [email protected] 1.0.1e-23
CVE-2014-0160 수정 - TLS 하트비트 확장의 정보 공개
2014년 3월 17일 월 Tomáš Mráz [email protected] 1.0.1e-22
FIPS 자체 테스트에서 2048비트 RSA 키 사용
2014년 2월 19일 수요일 Tomáš Mráz [email protected] 1.0.1e-21
FIPS CAVS 테스트에 필요한 DH_compute_key_padded 추가
3des 강도를 168 대신 128비트로 만듭니다(#1056616).
FIPS 모드: DSA 키 및 DH 매개변수 생성 안 함 < 2048비트
FIPS 모드: 승인된 RSA 키 생성 사용(2048 및 3072비트 키만 허용)
FIPS 모드: DH 자체 테스트 추가
FIPS 모드: RAND_add()에서 DRBG를 적절하게 다시 시드
FIPS 모드: RSA 암호화/복호화 자체 테스트 추가
FIPS 모드: 동일한 키로 2^32 GCM 블록 암호화에 대한 하드 제한 추가
req -newkey rsa가 호출되면 구성 파일의 키 길이를 사용하십시오.
2014년 1월 7일 화요일 Tomáš Mráz [email protected] 1.0.1e-20
CVE-2013-4353 수정 - 잘못된 TLS 핸드셰이크 충돌
2014년 1월 6일 월 Tomáš Mráz [email protected] 1.0.1e-19
CVE-2013-6450 수정 - DTLS1에서 가능한 MiTM 공격
2013년 12월 20일 금요일 Tomáš Mráz [email protected] 1.0.1e-18
CVE-2013-6449 수정 - SSL 구조의 버전이 올바르지 않을 때 충돌
2013년 12월 12일 목 Tomáš Mráz [email protected] 1.0.1e-17
실수로 삭제된 일부 no-op 기호를 다시 추가합니다.
2013년 10월 31일 목 Tomáš Mráz [email protected] 1.0.1e-16
지원하지 않는 ECC 곡선을 광고하지 마십시오.
Cyrix CPU에서 CPU 식별 수정
2013년 9월 27일 금요일 Tomáš Mráz [email protected] 1.0.1e-15
DTLS1이 FIPS 모드에서 작동하도록 만들기
FIPS 모드의 'openssl 속도'에서 RSA 및 DSA 512비트 및 월풀 방지
2013년 9월 26일 목 Tomáš Mráz [email protected] 1.0.1e-14
FIPS 모듈이 설치된 dracut-fips 표시의 설치
월 2013년 9월 23일 Tomáš Mráz [email protected] 1.0.1e-13
libcrypto에서 libssl.so 삭제 방지
2013년 9월 20일 금요일 Tomáš Mráz [email protected] 1.0.1e-12
FIPS es 자체 테스트에서 작은 메모리 누수 수정
FIPS 모드에서 openssl 속도 hmac의 segfault 수정
2013년 9월 12일 목 Tomáš Mráz [email protected] 1.0.1e-11
매뉴얼 페이지에 nextprotoneg 옵션 문서화
Hubert Kario의 오리지널 패치
2013년 8월 29일 목 Tomas Mraz [email protected] 1.0.1e-9
항상 라이브러리 생성자에서 FIPS 자체 테스트를 수행합니다.
FIPS 모듈이 설치된 경우
2013년 8월 16일 금요일 Tomas Mraz [email protected] 1.0.1e-8
가능한 경우 rdrand 사용 수정
더 많은 커밋은 업스트림에서 선택한 체리
문서 수정
2013년 7월 26일 금요일 Tomas Mraz [email protected] 1.0.1e-7
추가 매뉴얼 페이지 수정
텍스트 버전에도 기호 버전 관리 사용
2013년 7월 25일 목 토마스 므라즈 [email protected] 1.0.1e-6
추가 매뉴얼 페이지 수정
ECDH ECDSA에 대한 정리 속도 명령 출력
2013년 7월 19일 금요일 Tomas Mraz [email protected] 1.0.1e-5
_prefix 매크로 사용
2013년 7월 10일 수 Tomas Mraz [email protected] 1.0.1e-4
relro 연결 플래그 추가
2013년 7월 10일 수 Tomas Mraz [email protected] 1.0.1e-2
인증서 체인 확인을 위한 -trusted_first 옵션에 대한 지원 추가
2013년 5월 31일 금요일 Tomas Mraz [email protected] 1.0.1e-1
1.0.1e 업스트림 버전으로 리베이스
2013년 2월 25일 월 Tomas Mraz [email protected] 1.0.0-28
CVE-2013-0169 수정 - SSL/TLS CBC 타이밍 공격(#907589)
CVE-2013-0166 수정 - OCSP 서명 검사의 DoS(#908052)
또는 OPENSSL_DEFAULT_ZLIB를 명시적으로 요청한 경우에만 압축 활성화
환경 변수가 설정됨(CVE-2012-4929 #857051 수정)
getenv() 대신 __secure_getenv()를 모든 곳에서 사용하십시오(#839735).
2012년 10월 12일 금요일 Tomas Mraz [email protected] 1.0.0-27
openssl(1) 맨페이지에서 sslrand(1) 및 sslpasswd(1) 참조 수정(#841645)
pkgconfig .pc 파일에서 불필요한 lib64 수정 삭제(#770872)
강제 BIO_accept_new(*:) IPv4에서 수신 대기
2012년 8월 15일 수 Tomas Mraz [email protected] 1.0.0-26
FIPS 모드에서 개인 키를 이전 버전으로 쓸 때 PKCS#8 사용
PEM 암호화 모드가 FIPS와 호환되지 않음(#812348)
2012년 5월 15일 화요일 Tomas Mraz [email protected] 1.0.0-25
CVE-2012-2333 수정 - DTLS에서 레코드 길이에 대한 부적절한 검사(#820686)
CVE-2012-0884 수정에서 tkeylen을 올바르게 초기화하십시오.
2012년 4월 19일 목 Tomas Mraz [email protected] 1.0.0-24
CVE-2012-2110 수정 - asn1_d2i_read_bio()의 메모리 손상(#814185)
월 2012년 3월 19일 Tomas Mraz [email protected] 1.0.0-23
핸드셰이크를 종료할 수 있는 SGC 재시작 패치 문제 수정
틀리게
CVE-2012-0884 수정 - CMS 및 PKCS#7 코드의 MMA 약점(#802725)
CVE-2012-1165 수정 - 잘못된 MIME 헤더에 대한 NULL 읽기 역참조(#802489)
2012년 3월 1일 목 Tomas Mraz [email protected] 1.0.0-22
CFB, OFB 및 CTR 모드에서 정렬되지 않은 청크의 잘못된 암호화 수정
2012년 1월 19일 목 Tomas Mraz [email protected] 1.0.0-21
CVE-2011-4108 및 CVE-2012-0050 수정 - DTLS 일반 텍스트 복구
취약점 및 추가 DTLS 수정 사항(#771770)
CVE-2011-4576 수정 - 초기화되지 않은 SSL 3.0 패딩(#771775)
CVE-2011-4577 수정 - 잘못된 RFC 3779 데이터를 통한 DoS 가능성(#771778)
CVE-2011-4619 수정 - SGC 재시작 DoS 공격(#771780)
2011년 10월 31일 월 Tomas Mraz [email protected] 1.0.0-20
x86cpuid.pl 수정 - Paolo Bonzini의 패치
2011년 9월 29일 목 Tomas Mraz [email protected] 1.0.0-19
SHA2 알고리즘에 대한 알려진 답변 테스트 추가
2011년 9월 21일 수 Tomas Mraz [email protected] 1.0.0-18
CHIL 엔진에서 누락된 변수 초기화 수정(#740188)
월 2011년 9월 12일 Tomas Mraz [email protected] 1.0.0-17
CRL 조회를 위해 X509_STORE_CTX를 올바르게 초기화 - CVE-2011-3207
(#736087)
2011년 8월 24일 수 Tomas Mraz [email protected] 1.0.0-16
Intelx에서 AES-NI, SHA1 및 RC4에 대한 최적화 병합
내부 구현에 대한 엔진
월 2011년 8월 15일 Tomas Mraz [email protected] 1.0.0-15
앱에서 사용 가능한 다이제스트에 대한 더 나은 문서화(#693858)
백포트된 CHIL 엔진 수정 사항(#693863)
다운스트림 패치 없이 빌드 테스트 허용(#708511)
연결 시 부분 RELRO 활성화(#723994)
새로운 Intel CPU에서 성능이 향상된 Intelx 엔진 추가
비활성화하는 OPENSSL_DISABLE_AES_NI 환경 변수 추가
AES-NI 지원(intelx 엔진에 영향을 미치지 않음)
2011년 6월 8일 수 Tomas Mraz [email protected] 1.0.0-14
FIPS 모드에서 AES-NI 엔진 사용
2011년 5월 24일 화요일 Tomas Mraz [email protected] 1.0.0-11
새로운 DSA 매개변수 생성의 CAVS 테스트에 필요한 API 추가
목 2011년 2월 10일 Tomas Mraz [email protected] 1.0.0-10
OCSP 스테이플링 취약점 수정 - CVE-2011-0014(#676063)
README.FIPS 문서 수정
2011년 2월 4일 금요일 토마스 므라즈 [email protected] 1.0.0-8
ANSI X9.31을 사용하려면 openssl genrsa 명령에 -x931 매개변수를 추가합니다.
키 생성 방법
DSA 매개변수 생성을 위해 FIPS-186-3 방법 사용
OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW 환경 변수 추가
시스템이 유지 관리 상태일 때 MD5를 사용할 수 있도록 합니다.
/proc fips 플래그가 켜져 있어도
FIPS 모드에서 openssl pkcs12 명령이 기본적으로 작동하도록 합니다.
2011년 1월 24일 월 Tomas Mraz [email protected] 1.0.0-7
연결을 수락하도록 s_server의 ipv6 와일드카드를 수신합니다.
ipv4 및 ipv6 모두에서(#601612)
FIPS 모드에서 사용할 수 있도록 openssl 속도 명령 수정
FIPS 허용 암호 사용(#619762)
2010년 12월 7일 화요일 Tomas Mraz [email protected] 1.0.0-6
SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG에 대한 코드 비활성화 - CVE-2010-3864
(#649304)
2010년 11월 5일 금요일 Tomas Mraz [email protected] 1.0.0-5
확장 구문 분석 코드의 레이스 수정 - CVE-2010-3864(#649304)
2010년 6월 30일 수 Tomas Mraz [email protected] 1.0.0-4
openssl 매뉴얼 페이지 수정(#609484)
2010년 6월 4일 금요일 토마스 므라즈 [email protected] 1.0.0-3
OriginatorInfo의 잘못된 ASN.1 정의 수정 - CVE-2010-0742(#598738)
rsa_verify_recover의 정보 누출 수정 - CVE-2010-1633(#598732)
2010년 5월 19일 수요일 Tomas Mraz [email protected] 1.0.0-2
CA dir을 읽을 수 있도록 설정 - 개인 키는 개인 하위 디렉토리에 있습니다(#584810).
업스트림 CVS의 몇 가지 수정 사항
X509_NAME_hash_old가 FIPS 모드에서 작동하도록 합니다(#568395).
2010년 3월 30일 화요일 Tomas Mraz [email protected] 1.0.0-1
최종 1.0.0 업스트림 릴리스로 업데이트
2010년 2월 16일 화요일 Tomas Mraz [email protected] 1.0.0-0.22.beta5
FIPS 모드에서 TLS 작동
2010년 2월 12일 금요일 Tomas Mraz [email protected] 1.0.0-0.21.beta5
어셈블러 구현에서 0 길이를 정상적으로 처리
OPENSSL_cleanse(#564029)
클라이언트 호스트 이름을 확인할 수 없는 경우 s_server에서 실패하지 않음(#561260)
2010년 1월 20일 수 Tomas Mraz [email protected] 1.0.0-0.20.beta5
새로운 업스트림 릴리스
2010년 1월 14일 목 Tomas Mraz [email protected] 1.0.0-0.19.beta4
CVE-2009-4355 수정 - 응용 프로그램에서 누수가 잘못 호출됨
응용 프로그램 종료 전 CRYPTO_free_all_ex_data()(#546707)
향후 TLS 프로토콜 버전 처리를 위한 업스트림 수정
2010년 1월 13일 수 Tomas Mraz [email protected] 1.0.0-0.18.beta4
Intel AES-NI에 대한 지원 추가
2010년 1월 7일 목 토마스 므라즈 [email protected] 1.0.0-0.17.beta4
세션 재개 시 업스트림 수정 압축 처리
업스트림의 다양한 null 검사 및 기타 작은 수정 사항
최신 초안에 따른 재협상 정보의 업스트림 변경 사항
2009년 11월 23일 월 Tomas Mraz [email protected] 1.0.0-0.16.beta4
non-fips mingw 빌드 수정 (Kalev Lember의 패치)
DTLS에 대한 IPV6 수정 사항 추가
2009년 11월 20일 금요일 Tomas Mraz [email protected] 1.0.0-0.15.beta4
안전하지 않은 재협상을 위해 더 나은 오류 보고 추가
2009년 11월 20일 금요일 Tomas Mraz [email protected] 1.0.0-0.14.beta4
s390x에서 빌드 수정
2009년 11월 18일 수 Tomas Mraz [email protected] 1.0.0-0.13.beta4
클라이언트에서 재협상 확장의 시행을 비활성화합니다(#537962).
현재 업스트림 스냅샷에서 수정 사항 추가
2009년 11월 13일 금요일 Tomas Mraz [email protected] 1.0.0-0.12.beta4
다시 빌드할 필요가 없도록 버전 번호의 베타 상태를 3으로 유지합니다.
너무 엄격한 버전 확인이 있는 openssh 및 기타 종속성
2009년 11월 12일 목 Tomas Mraz [email protected] 1.0.0-0.11.beta4
새로운 업스트림 버전으로 업데이트, soname 범프 필요 없음
수정 CVE-2009-3555 - SSL_OP_ALL이 사용되는 경우 수정 사항이 무시됩니다.
따라서 고정되지 않은 클라이언트와의 호환성이 손상되지 않습니다. 그만큼
프로토콜 확장도 최종적이지 않습니다.
2009년 10월 16일 금요일 Tomas Mraz [email protected] 1.0.0-0.10.beta3
SSL_CTX_free()가 전에 호출된 경우 해제된 메모리 사용 수정
SSL_free() (#521342)
2009년 10월 8일 목 토마스 므라즈 [email protected] 1.0.0-0.9.beta3
DTLS1 코드의 오타 수정(#527015)
d2i_SSL_SESSION()의 오류 처리에서 누수 수정
2009년 9월 30일 수 Tomas Mraz [email protected] 1.0.0-0.8.beta3
RSA 및 DSA FIPS 자체 테스트 수정
고정 x86_64 동백 어셈블러 코드 재활성화(#521127)
2009년 9월 4일 금요일 Tomas Mraz [email protected] 1.0.0-0.7.beta3
x86_64 동백 어셈블러 코드를 일시적으로 비활성화(#521127)
2009년 8월 31일 월 Tomas Mraz [email protected] 1.0.0-0.6.beta3
openssl dgst -dss1 수정(#520152)
2009년 8월 26일 수 Tomas Mraz [email protected] 1.0.0-0.5.beta3
compat symlink 해킹을 삭제하십시오.
2009년 8월 22일 토 토마스 므라즈 [email protected] 1.0.0-0.4.beta3
SSL_CIPHER_description() 구성
2009년 8월 21일 금요일 Tomas Mraz [email protected] 1.0.0-0.3.beta3
수정 WWW:Curl :tsget에서 쉬운 참조
2009년 8월 21일 금요일 Tomas Mraz [email protected] 1.0.0-0.2.beta3
MD-2 활성화
목 2009년 8월 20일 Tomas Mraz [email protected] 1.0.0-0.1.beta3
새로운 주요 업스트림 릴리스로 업데이트
2009년 7월 25일 토요일 Fedora Release Engineering [email protected] - 0.9.8k-7
https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild 를 위해 재건
2009년 7월 22일 수요일 Bill Nottingham [email protected]
i686을 위한 특별한 '최적화' 버전을 구축하지 마십시오. 이것이 기본이기 때문입니다.
지금 Fedora의 아치
2009년 6월 30일 화요일 Tomas Mraz [email protected] 0.9.8k-6
자체 테스트가 실패하고 난수 생성기가 폴링되면 중단
맨페이지에서 EVP_aes 및 EVP_sha2xx 루틴 언급
README.FIPS 추가
CA dir 절대 경로 만들기(#445344)
RSA 키 생성의 기본 길이를 2048로 변경(#484101)
2009년 5월 21일 목 Tomas Mraz [email protected] 0.9.8k-5
수정 CVE-2009-1377 CVE-2009-1378 CVE-2009-1379
(DTLS DoS 문제) (#501253, #501254, #501572)
2009년 4월 21일 화요일 Tomas Mraz [email protected] 0.9.8k-4
CISCO AnyConnect에 대한 호환성 DTLS 모드 지원(#464629)
2009년 4월 17일 금요일 Tomas Mraz [email protected] 0.9.8k-3
SHLIB_VERSION 정의 수정
2009년 4월 15일 수 Tomas Mraz [email protected] 0.9.8k-2
동일한 주제를 가진 여러 CRL에 대한 지원 추가
FIPS 모드에서 동적 엔진 지원만 로드
2009년 3월 25일 수요일 Tomas Mraz [email protected] 0.9.8k-1
새로운 업스트림 릴리스로 업데이트(사소한 버그 수정, 보안
수정 및 기계 코드 최적화만 해당)
2009년 3월 19일 목 Tomas Mraz [email protected] 0.9.8j-10
라이브러리를 /usr/lib로 이동(#239375)
2009년 3월 13일 금요일 Tomas Mraz [email protected] 0.9.8j-9
정적 하위 패키지 추가
2009년 2월 26일 목 페도라 릴리스 엔지니어링 [email protected] - 0.9.8j-8
https://fedoraproject.org/wiki/Fedora_11_Mass_Rebuild 용으로 재구축
2009년 2월 2일 월 Tomas Mraz [email protected] 0.9.8j-7
FIPS 모드에서 libssl.so의 체크섬도 확인해야 합니다.
커널 장치에서 직접 FIPS rng의 시드를 얻습니다.
임시 심볼릭 링크 삭제
2009년 1월 26일 월 Tomas Mraz [email protected] 0.9.8j-6
포스트에서 임시 triggerpostun 및 symlinking 삭제
pkgconfig 파일을 수정하고 불필요한 buildrequires 삭제
rpmbuild 종속성이므로 pkgconfig에서 (#481419)
2009년 1월 17일 토 토마스 므라즈 [email protected] 0.9.8j-5
심볼릭 링크를 복원하기 위해 임시 triggerpostun 추가
2009년 1월 17일 토 토마스 므라즈 [email protected] 0.9.8j-4
non-fips 모드에서 pairwise 키 테스트 없음(#479817)
2009년 1월 16일 금요일 Tomas Mraz [email protected] 0.9.8j-3
임시 심볼릭 링크에 대한 더욱 강력한 테스트
2009년 1월 16일 금요일 Tomas Mraz [email protected] 0.9.8j-2
임시 심볼릭 링크가 존재하는지 확인하십시오
2009년 1월 15일 목 Tomas Mraz [email protected] 0.9.8j-1
필요한 이름 범프가 있는 새 업스트림 버전(#455753)
다시 빌드할 수 있도록 임시로 이전 soname에 대한 심볼릭 링크를 제공합니다.
생가죽의 종속 패키지
빠른 지원 추가(#428181)
설정하여 zlib를 비활성화할 수 있는 가능성 추가
테스트 목적으로 fips 모드 지원 추가
일부 유효하지 않은 smime 파일에 대해 null 역참조를 하지 마십시오.
빌드를 추가하려면 pkgconfig가 필요합니다(#479493).
일 2008년 8월 10일 Tomas Mraz [email protected] 0.9.8g-11
SSLv3용 서버 hello에 tls 확장을 추가하지 마십시오.
2008년 6월 2일 월 Joe Orton [email protected] 0.9.8g-10
루트 CA 번들을 ca-certificates 패키지로 이동
2008년 5월 28일 수 Tomas Mraz [email protected] 0.9.8g-9
CVE-2008-0891 수정 - 서버 이름 확장 충돌(#448492)
CVE-2008-1672 수정 - 서버 키 교환 메시지 누락 충돌(#448495)
2008년 5월 27일 화요일 Tomas Mraz [email protected] 0.9.8g-8
슈퍼 H 아치 지원
gcc-4.3에서 수정되어야 하므로 버그 199604에 대한 해결 방법 삭제
2008년 5월 19일 월 Tom "spot" Callaway [email protected] 0.9.8g-7
스파크 처리
2008년 3월 10일 월 Joe Orton [email protected] 0.9.8g-6
mozilla.org(r1.45)에서 새 루트 CA 번들로 업데이트
2008년 2월 20일 수요일 Fedora Release Engineering [email protected] - 0.9.8g-5
GCC 4.3용 자동 재구축
2008년 1월 24일 목 Tomas Mraz [email protected] 0.9.8g-4
병합 검토 수정 사항(#226220)
라이브러리 이름을 반영하도록 SHLIB_VERSION_NUMBER 조정(#429846)
2007년 12월 13일 목 Tomas Mraz [email protected] 0.9.8g-3
명시적 경로가 설정되지 않은 경우 기본 경로 설정(#418771)
SSLv3용 클라이언트 hello에 tls 확장을 추가하지 마십시오(#422081).
2007년 12월 4일 화요일 토마스 므라즈 [email protected] 0.9.8g-2
몇 가지 새로운 암호화 알고리즘 및 기능 활성화
openssl CVS에서 더 중요한 버그 수정 추가
2007년 12월 3일 월 Tomas Mraz [email protected] 0.9.8g-1
최신 업스트림 릴리스로 업데이트, SONAME이 7로 변경됨
월 2007년 10월 15일 Joe Orton [email protected] 0.9.8b-17
mozilla.org에서 새 CA 번들로 업데이트
2007년 10월 12일 금요일 Tomas Mraz [email protected] 0.9.8b-16
CVE-2007-5135 - SSL_get_shared_ciphers에서 하나씩 수정(#309801)
CVE-2007-4995 수정 - 순서가 잘못된 DTLS 조각 버퍼 오버플로(#321191)
알파 하위 아치 추가(#296031)
2007년 8월 21일 화요일 Tomas Mraz [email protected] 0.9.8b-15
재건하다
2007년 8월 3일 금요일 Tomas Mraz [email protected] 0.9.8b-14
testsuite에서 localhost 사용, koji의 느린 빌드 수정
CVE-2007-3108 - 개인 키에 대한 사이드 채널 공격 수정(#250577)
SSL 세션 캐시 ID를 엄격하게 일치시키십시오(#233599).
2007년 7월 25일 수 Tomas Mraz [email protected] 0.9.8b-13
ARM 아키텍처에서 빌드 허용(#245417)
참조 타임스탬프를 사용하여 multilib 충돌 방지(#218064)
-devel 패키지에는 pkgconfig가 필요합니다(#241031).
월 2006년 12월 11일 Tomas Mraz [email protected] 0.9.8b-12
add_dir에서 중복을 올바르게 감지합니다(#206346).
2006년 11월 30일 목 Tomas Mraz [email protected] 0.9.8b-11
이전 변경으로 인해 여전히 X509_NAME_cmp가 전이되지 않았습니다.
2006년 11월 23일 목 Tomas Mraz [email protected] 0.9.8b-10
X509_NAME_cmp를 전이적으로 만들지 않으면 인증서 조회
고장났습니다(#216050)
2006년 11월 2일 목 Tomas Mraz [email protected] 0.9.8b-9
엔진 로딩의 앨리어싱 버그, IBM 패치(#213216)
2006년 10월 2일 월 Tomas Mraz [email protected] 0.9.8b-8
CVE-2006-2940 수정 사항이 잘못되었습니다(#208744).
월 2006년 9월 25일 Tomas Mraz [email protected] 0.9.8b-7
CVE-2006-2937 수정 - ASN.1 구문 분석에서 잘못 처리된 오류(#207276)
CVE-2006-2940 수정 - 기생 공개 키 DoS(#207274)
CVE-2006-3738 수정 - SSL_get_shared_ciphers의 버퍼 오버플로(#206940)
CVE-2006-4343 - sslv2 클라이언트 DoS 수정(#206940)
2006년 9월 5일 화요일 Tomas Mraz [email protected] 0.9.8b-6
CVE-2006-4339 수정 - PKCS#1 v1.5 서명에 대한 공격 방지(#205180)
2006년 8월 2일 수 Tomas Mraz [email protected] - 0.9.8b-5
bufsize가 설정된 경우 stdio/stdout FILE에서 버퍼링을 없음으로 설정(#200580)
IBM의 패치
2006년 7월 28일 금요일 Alexandre Oliva [email protected] - 0.9.8b-4.1
새 binutils로 다시 빌드(#200330)
2006년 7월 21일 금요일 Tomas Mraz [email protected] - 0.9.8b-4
s390에서 sha512 테스트 실패에 대한 임시 해결 방법 추가(#199604)
2006년 7월 20일 목 Tomas Mraz [email protected]
s_client 및 s_server에 ipv6 지원 추가(Jan Pazdziora 작성)(#198737)
BN 스레드 안전을 위한 패치 추가, AES 캐시 충돌 공격 위험 수정 및
업스트림 CVS의 pkcs7 코드 memleak 수정
2006년 7월 12일 수요일 Jesse Keating [email protected] - 0.9.8b-3.1
재건하다
2006년 6월 21일 수요일 Tomas Mraz [email protected] - 0.9.8b-3
빌드에서 libica 및 ica 엔진을 삭제했습니다.
2006년 6월 21일 수 Joe Orton [email protected]
mozilla.org에서 새 CA 번들로 업데이트 CA 인증서 추가
netlock.hu 및 startcom.org에서
2006년 6월 5일 월 Tomas Mraz [email protected] - 0.9.8b-2
몇 가지 rpmlint 경고 수정
업스트림에서 #173399에 대한 더 나은 수정
pkcs12에 대한 업스트림 수정
2006년 5월 11일 목 Tomas Mraz [email protected] - 0.9.8b-1
새 버전으로 업그레이드, ABI 호환 유지
더 이상 linux/config.h가 없습니다(어쨌든 비어 있음)
2006년 4월 4일 화요일 Tomas Mraz [email protected] - 0.9.8a-6
libica의 오래된 열린 핸들 수정(#177155)
buildroot 경로에서 'rand' 또는 'passwd'인 경우 빌드 수정(#178782)
VIA Padlock 엔진 초기화(#186857)
2006년 2월 10일 금요일 Jesse Keating [email protected] - 0.9.8a-5.2
ppc(64)의 이중 긴 버그에 대해 다시 범프
2006년 2월 7일 화요일 Jesse Keating [email protected] - 0.9.8a-5.1
새로운 gcc4.1 스냅샷 및 glibc 변경 사항을 위해 재구축
2005년 12월 15일 목 Tomas Mraz [email protected] 0.9.8a-5
SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG를 포함하지 마십시오.
SSL_OP_ALL에서(#175779)
2005년 12월 9일 금요일 Jesse Keating [email protected]
재건
2005년 11월 29일 화요일 Tomas Mraz [email protected] 0.9.8a-4
업데이트된 libica의 빌드 수정(-lcrypto가 잘못 삭제됨)
ICA 엔진을 1.3.6-rc3으로 업데이트했습니다.
2005년 11월 22일 화요일 Tomas Mraz [email protected] 0.9.8a-3
작동할 때까지 내장 압축 방법을 비활성화하십시오.
제대로 (#173399)
2005년 11월 16일 수 Tomas Mraz [email protected] 0.9.8a-2
openssl 바이너리에 대해 -rpath를 설정하지 마십시오.
2005년 11월 8일 화요일 Tomas Mraz [email protected] 0.9.8a-1
새로운 업스트림 버전
부분적으로 번호가 다시 매겨진 패치
2005년 10월 21일 금요일 Tomas Mraz [email protected] 0.9.7f-11
최신 업스트림 버전으로 업데이트된 IBM ICA 엔진 라이브러리 및 패치
수 2005년 10월 12일 Tomas Mraz [email protected] 0.9.7f-10
CAN-2005-2969 수정 - SSL_OP_MSIE_SSLV2_RSA_PADDING 제거
SSLv2에서 중간자 공격에 대한 대책을 비활성화합니다.
(#169863)
CA 및 인증서 요청에 대해 sha1을 기본값으로 사용 - CAN-2005-2946(#169803)
2005년 8월 23일 화요일 Tomas Mraz [email protected] 0.9.7f-9
/lib에 *.so.soversion을 심볼릭 링크로 추가(#165264)
패키지되지 않은 심볼릭 링크 제거(#159595)
업스트림에서 수정(DSA에 대한 일정 시간 수정,
ppc 아치의 bn 어셈블러 div, realloc에서 메모리 초기화)
2005년 8월 11일 목 Phil Knirsch [email protected] 0.9.7f-8
ICA 엔진 IBM 패치를 최신 업스트림 버전으로 업데이트했습니다.
2005년 5월 19일 목 Tomas Mraz [email protected] 0.9.7f-7
CAN-2005-0109 수정 - 일정한 시간/메모리 액세스 mod_exp 사용
따라서 개인 키 비트가 캐시 제거에 의해 누출되지 않습니다(#157631).
업스트림 0.9.7g에서 몇 가지 추가 수정
2005년 4월 27일 수 Tomas Mraz [email protected] 0.9.7f-6
랜드에서 선택하는 대신 투표를 사용하십시오(#128285).
Makefile.certificate가 /etc/pki/tls를 가리키도록 수정
ASN1의 기본 문자열 마스크를 PrintableString+UTF8String으로 변경
월 2005년 4월 25일 Joe Orton [email protected] 0.9.7f-5
Mozilla CA 번들의 개정판 1.37로 업데이트
2005년 4월 21일 목 Tomas Mraz [email protected] 0.9.7f-4
인증서를 _sysconfdir/pki/tls로 이동(#143392)
CA 디렉토리를 _sysconfdir/pki/CA로 이동
CA 스크립트와 기본 구성을 패치하여
CA 디렉토리
2005년 4월 1일 금요일 Tomas Mraz [email protected] 0.9.7f-3
초기화되지 않은 변수는 인라인에서 입력으로 사용하면 안 됩니다.
집회
x86_64 어셈블리를 다시 활성화하십시오.
2005년 3월 31일 목 Tomas Mraz [email protected] 0.9.7f-2
ABI가 손상되지 않도록 ia64 및 x86_64에 RC4_CHAR를 다시 추가합니다.
x86_64에서 깨진 bignum 어셈블리 비활성화
2005년 3월 30일 수 Tomas Mraz [email protected] 0.9.7f-1
ppc64에서 최적화를 다시 활성화하고 ia64에서 어셈블리 코드를 활성화합니다.
새로운 업스트림 버전으로 업그레이드(소이름 범프 필요 없음)
스레드 테스트 비활성화 - 백포트를 테스트 중이었습니다.
RSA 블라인드 - 더 이상 필요하지 않음
일련 번호 변경에 대한 지원 추가
Makefile.certificate(#151188)
ca-bundle.crt를 구성 파일로 만듭니다(#118903).
2005년 3월 1일 화요일 Tomas Mraz [email protected] 0.9.7e-3
libcrypto는 libkrb5에 의존해서는 안 됩니다(#135961).
월 2005년 2월 28일 Tomas Mraz [email protected] 0.9.7e-2
재건하다
월 2005년 2월 28일 Tomas Mraz [email protected] 0.9.7e-1
새로운 업스트림 소스, 업데이트된 패치
패치를 추가하여 곧 출시될 ABI와 호환되기를 바랍니다.
0.9.7f
2005년 2월 10일 목 Tomas Mraz [email protected]
Makefile.certificate에서 UTF-8 문자 집합 지원(#134944)
BuildPrereq에 cmp 추가
2005년 1월 27일 목 Joe Orton [email protected] 0.9.7a -46
Mozilla certdata.txt(개정판 1.32)에서 새 ca-bundle.crt 생성
2004년 12월 23일 목 Phil Knirsch [email protected] 0.9.7a -45
libica-1.3.4-urandom.patch 패치 수정 및 업데이트(#122967)
2004년 11월 19일 금요일 Nalin Dahyabhai [email protected] 0.9.7a -44
재건하다
2004년 11월 19일 금요일 Nalin Dahyabhai [email protected] 0.9.7a -43
재건하다
2004년 11월 19일 금요일 Nalin Dahyabhai [email protected] 0.9.7a -42
재건하다
2004년 11월 19일 금요일 Nalin Dahyabhai [email protected] 0.9.7a -41
업스트림 cvs가 수행한 대로 der_chop을 제거합니다(CAN-2004-0975, #140040).
2004년 10월 5일 화요일 Phil Knirsch [email protected] 0.9.7a -40
중요한 버그수정이 있는 최신 libica 버전 포함
2004년 6월 15일 화요일 Elliot Lee [email protected]
재건
2004년 6월 14일 월 Phil Knirsch [email protected] 0.9.7a -38
ICA 엔진 IBM 패치를 최신 업스트림 버전으로 업데이트했습니다.
2004년 6월 7일 월 Nalin Dahyabhai [email protected] 0.9.7a -37
알파에서 alpha-gcc 대신 linux-alpha-gcc용으로 빌드(Jeff Garzik)
2004년 5월 25일 화요일 Nalin Dahyabhai [email protected] 0.9.7a -36
중간에서 %{_arch}=i486/i586/i686/athlon 케이스 처리
헤더(#124303)
2004년 3월 25일 목 Joe Orton [email protected] 0.9.7a -35
CAN-2004-0079, CAN-2004-0112에 대한 보안 수정 사항 추가
2004년 3월 16일 화요일 Phil Knirsch [email protected]
libica 파일 사양을 수정했습니다.
2004년 3월 11일 목 Nalin Dahyabhai [email protected] 0.9.7a -34
ppc/ppc64 정의 powerpc / powerpc64 , ppc / ppc64 아님, 수정
중간 헤더
2004년 3월 10일 수요일 Nalin Dahyabhai [email protected] 0.9.7a -33
중간체를 추가하다오른쪽을 가리키는
multilib 아치의 아치별 opensslconf.h
2004년 3월 2일 화요일 Elliot Lee [email protected]
재건
2004년 2월 26일 목 Phil Knirsch [email protected] 0.9.7a -32
libica를 최신 업스트림 버전 1.3.5로 업데이트했습니다.
2004년 2월 17일 화요일 Phil Knirsch [email protected] 0.9.7a -31
IBM에서 최신 버전으로 ICA 암호화 엔진 패치를 업데이트하십시오.
2004년 2월 13일 금요일 Elliot Lee [email protected]
재건
2004년 2월 13일 금요일 Phil Knirsch [email protected] 0.9.7a -29
재건
2004년 2월 11일 수요일 Phil Knirsch [email protected] 0.9.7a -28
고정 리비카 빌드.
2004년 2월 4일 수요일 Nalin Dahyabhai [email protected]
Linux-on-ARM용으로 추가된 링크 플래그에 "-ldl" 추가(#99313)
2004년 2월 4일 수 Joe Orton [email protected] 0.9.7a -27
업데이트된 ca-bundle.crt: 만료된 GeoTrust 루트 제거, 추가됨
freessl.com 루트, 제거 trustcenter.de 클래스 0 루트
2003년 11월 30일 일 Tim Waugh [email protected] 0.9.7a -26
libssl에 대한 링크 라인 수정(버그 #111154).
2003년 10월 24일 금요일 Nalin Dahyabhai [email protected] 0.9.7a -25
zlib에 의존하는 -devel 패키지에 대해 zlib-devel에 의존성을 추가합니다.
libssl에 대해 zlib를 활성화하기 때문에 기호(#102962)
2003년 10월 24일 금요일 Phil Knirsch [email protected] 0.9.7a -24
libica에 PRNG 대신 /dev/urandom을 사용하십시오.
icalinux.c의 /dev/urandom에 libica-1.3.5 수정 사항 적용
IBM의 최신 ICA 엔진 패치를 사용하십시오.
2003년 10월 4일 토 Nalin Dahyabhai [email protected] 0.9.7a -22.1
재건하다
2003년 10월 1일 수요일 Nalin Dahyabhai [email protected] 0.9.7a -22
재구축 (22는 실제로 구축되지 않았습니다, 재미있죠?)
2003년 9월 30일 화요일 Nalin Dahyabhai [email protected] 0.9.7a -23
ppc64에서 최적화 다시 비활성화
2003년 9월 30일 화요일 Joe Orton [email protected]
CVS에서 64비트 플랫폼용 a_mbstr.c 수정 추가
2003년 9월 30일 화요일 Nalin Dahyabhai [email protected] 0.9.7a -22
조립된 모듈에 태그가 지정되도록 RPM_OPT_FLAGS에 -Wa,--noexecstack 추가
실행 가능한 스택이 필요하지 않기 때문에
월 2003년 9월 29일 Nalin Dahyabhai [email protected] 0.9.7a -21
재건하다
2003년 9월 25일 목 Nalin Dahyabhai [email protected]
re-enable optimizations on ppc64
Thu Sep 25 2003 Nalin Dahyabhai [email protected]
remove exclusivearch
Wed Sep 24 2003 Nalin Dahyabhai [email protected] 0.9.7a-20
only parse a client cert if one was requested
temporarily exclusivearch for %{ix86}
Tue Sep 23 2003 Nalin Dahyabhai [email protected]
add security fixes for protocol parsing bugs (CAN-2003-0543, CAN-2003-0544)
and heap corruption (CAN-2003-0545)
update RHNS-CA-CERT files
ease back on the number of threads used in the threading test
Wed Sep 17 2003 Matt Wilson [email protected] 0.9.7a-19
rebuild to fix gzipped file md5sums (#91211)
Mon Aug 25 2003 Phil Knirsch [email protected] 0.9.7a-18
Updated libica to version 1.3.4.
Thu Jul 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-17
rebuild
Tue Jul 15 2003 Nalin Dahyabhai [email protected] 0.9.7a-10.9
free the kssl_ctx structure when we free an SSL structure (#99066)
Fri Jul 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-16
rebuild
Thu Jul 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-15
lower thread test count on s390x
Tue Jul 08 2003 Nalin Dahyabhai [email protected] 0.9.7a-14
rebuild
Thu Jun 26 2003 Nalin Dahyabhai [email protected] 0.9.7a-13
disable assembly on arches where it seems to conflict with threading
Thu Jun 26 2003 Phil Knirsch [email protected] 0.9.7a-12
Updated libica to latest upstream version 1.3.0
Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-9.9
rebuild
Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-11
rebuild
Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-10
ubsec: don't stomp on output data which might also be input data
Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-9
temporarily disable optimizations on ppc64
Mon Jun 09 2003 Nalin Dahyabhai [email protected]
backport fix for engine-used-for-everything from 0.9.7b
backport fix for prng not being seeded causing problems, also from 0.9.7b
add a check at build-time to ensure that RSA is thread-safe
keep perlpath from stomping on the libica configure scripts
Fri Jun 06 2003 Nalin Dahyabhai [email protected]
thread-safety fix for RSA blinding
Wed Jun 04 2003 Elliot Lee [email protected] 0.9.7a-8
rebuilt
Fri May 30 2003 Phil Knirsch [email protected] 0.9.7a-7
Added libica-1.2 to openssl (featurerequest).
Wed Apr 16 2003 Nalin Dahyabhai [email protected] 0.9.7a-6
fix building with incorrect flags on ppc64
Wed Mar 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-5
add patch to harden against Klima-Pokorny-Rosa extension of Bleichenbacher's
attack (CAN-2003-0131)
Mon Mar 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-4
add patch to enable RSA blinding by default, closing a timing attack
(CAN-2003-0147)
Wed Mar 05 2003 Nalin Dahyabhai [email protected] 0.9.7a-3
disable use of BN assembly module on x86_64, but continue to allow inline
assembly (#83403)
Thu Feb 27 2003 Nalin Dahyabhai [email protected] 0.9.7a-2
disable EC algorithms
Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-1
update to 0.9.7a
Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7-8
add fix to guard against attempts to allocate negative amounts of memory
add patch for CAN-2003-0078, fixing a timing attack
Thu Feb 13 2003 Elliot Lee [email protected] 0.9.7-7
Add openssl-ppc64.patch
Mon Feb 10 2003 Nalin Dahyabhai [email protected] 0.9.7-6
EVP_DecryptInit should call EVP_CipherInit() instead of EVP_CipherInit_ex(),
to get the right behavior when passed uninitialized context structures
(#83766)
build with -mcpu=ev5 on alpha family (#83828)
Wed Jan 22 2003 Tim Powers [email protected]
rebuilt
Fri Jan 17 2003 Phil Knirsch [email protected] 0.9.7-4
Added IBM hw crypto support patch.
Wed Jan 15 2003 Nalin Dahyabhai [email protected]
add missing builddep on sed
Thu Jan 09 2003 Bill Nottingham [email protected] 0.9.7-3
debloat
fix broken manpage symlinks
Wed Jan 08 2003 Nalin Dahyabhai [email protected] 0.9.7-2
fix double-free in 'openssl ca'
Fri Jan 03 2003 Nalin Dahyabhai [email protected] 0.9.7-1
update to 0.9.7 final
Tue Dec 17 2002 Nalin Dahyabhai [email protected] 0.9.7-0
update to 0.9.7 beta6 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
Wed Dec 11 2002 Nalin Dahyabhai [email protected]
update to 0.9.7 beta5 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
Tue Oct 22 2002 Nalin Dahyabhai [email protected] 0.9.6b-30
add configuration stanza for x86_64 and use it on x86_64
build for linux-ppc on ppc
start running the self-tests again
Wed Oct 02 2002 Elliot Lee [email protected] 0.9.6b-29hammer.3
Merge fixes from previous hammer packages, including general x86-64 and
multilib
Tue Aug 06 2002 Nalin Dahyabhai [email protected] 0.9.6b-29
rebuild
Thu Aug 01 2002 Nalin Dahyabhai [email protected] 0.9.6b-28
update asn patch to fix accidental reversal of a logic check
Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-27
update asn patch to reduce chance that compiler optimization will remove
one of the added tests
Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-26
rebuild
Mon Jul 29 2002 Nalin Dahyabhai [email protected] 0.9.6b-25
add patch to fix ASN.1 vulnerabilities
Thu Jul 25 2002 Nalin Dahyabhai [email protected] 0.9.6b-24
add backport of Ben Laurie's patches for OpenSSL 0.9.6d
Wed Jul 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-23
own {_datadir}/ssl/misc
Fri Jun 21 2002 Tim Powers [email protected]
automated rebuild
Sun May 26 2002 Tim Powers [email protected]
automated rebuild
Fri May 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-20
free ride through the build system (whee!)
Thu May 16 2002 Nalin Dahyabhai [email protected] 0.9.6b-19
rebuild in new environment
Thu Apr 04 2002 Nalin Dahyabhai [email protected] 0.9.6b-17, 0.9.6b-18
merge RHL-specific bits into stronghold package, rename
Tue Apr 02 2002 Gary Benson [email protected] stronghold-0.9.6c-2
add support for Chrysalis Luna token
Tue Mar 26 2002 Gary Benson [email protected]
disable AEP random number generation, other AEP fixes
Fri Mar 15 2002 Nalin Dahyabhai [email protected] 0.9.6b-15
only build subpackages on primary arches
Thu Mar 14 2002 Nalin Dahyabhai [email protected] 0.9.6b-13
on ia32, only disable use of assembler on i386
enable assembly on ia64
Mon Jan 07 2002 Florian La Roche Florian. [email protected] 0.9.6b-11
fix sparcv9 entry
Mon Jan 07 2002 Gary Benson [email protected] stronghold-0.9.6c-1
upgrade to 0.9.6c
bump BuildArch to i686 and enable assembler on all platforms
synchronise with shrimpy and rawhide
bump soversion to 3
Wed Oct 10 2001 Florian La Roche Florian. [email protected]
delete BN_LLONG for s390x, patch from Oliver Paukstadt
Mon Sep 17 2001 Nalin Dahyabhai [email protected] 0.9.6b-9
update AEP driver patch
Mon Sep 10 2001 Nalin Dahyabhai [email protected]
adjust RNG disabling patch to match version of patch from Broadcom
Fri Sep 07 2001 Nalin Dahyabhai [email protected] 0.9.6b-8
disable the RNG in the ubsec engine driver
Tue Aug 28 2001 Nalin Dahyabhai [email protected] 0.9.6b-7
tweaks to the ubsec engine driver
Fri Aug 24 2001 Nalin Dahyabhai [email protected] 0.9.6b-6
tweaks to the ubsec engine driver
Thu Aug 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-5
update ubsec engine driver from Broadcom
Fri Aug 10 2001 Nalin Dahyabhai [email protected] 0.9.6b-4
move man pages back to %{_mandir}/man?/foo.?ssl from
%{_mandir}/man?ssl/foo.?
add an [ engine ] section to the default configuration file
Thu Aug 09 2001 Nalin Dahyabhai [email protected]
add a patch for selecting a default engine in SSL_library_init()
Mon Jul 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-3
add patches for AEP hardware support
add patch to keep trying when we fail to load a cert from a file and
there are more in the file
add missing prototype for ENGINE_ubsec() in engine_int.h
Wed Jul 18 2001 Nalin Dahyabhai [email protected] 0.9.6b-2
actually add hw_ubsec to the engine list
Tue Jul 17 2001 Nalin Dahyabhai [email protected]
add in the hw_ubsec driver from CVS
Wed Jul 11 2001 Nalin Dahyabhai [email protected] 0.9.6b-1
update to 0.9.6b
Thu Jul 05 2001 Nalin Dahyabhai [email protected]
move .so symlinks back to %{_libdir}
Tue Jul 03 2001 Nalin Dahyabhai [email protected]
move shared libraries to /lib (#38410)
Mon Jun 25 2001 Nalin Dahyabhai [email protected]
switch to engine code base
Mon Jun 18 2001 Nalin Dahyabhai [email protected]
add a script for creating dummy certificates
move man pages from %{_mandir}/man?/foo.?ssl to %{_mandir}/man?ssl/foo.?
Thu Jun 07 2001 Florian La Roche Florian. [email protected]
add s390x support
Fri Jun 01 2001 Nalin Dahyabhai [email protected]
change two memcpy() calls to memmove()
don't define L_ENDIAN on alpha
Wed May 23 2001 Joe Orton [email protected] stronghold-0.9.6a-1
Add 'stronghold-' prefix to package names.
Obsolete standard openssl packages.
Wed May 16 2001 Joe Orton [email protected]
Add BuildArch: i586 as per Nalin's advice.
Tue May 15 2001 Joe Orton [email protected]
Enable assembler on ix86 (using new .tar.bz2 which does
include the asm directories).
Tue May 15 2001 Nalin Dahyabhai [email protected]
make subpackages depend on the main package
Tue May 01 2001 Nalin Dahyabhai [email protected]
adjust the hobble script to not disturb symlinks in include/ (fix from
Joe Orton)
Fri Apr 27 2001 Nalin Dahyabhai [email protected]
drop the m2crypo patch we weren't using
Tue Apr 24 2001 Nalin Dahyabhai [email protected]
configure using "shared" as well
Sun Apr 08 2001 Nalin Dahyabhai [email protected]
update to 0.9.6a
use the build-shared target to build shared libraries
bump the soversion to 2 because we're no longer compatible with
our 0.9.5a packages or our 0.9.6 packages
drop the patch for making rsatest a no-op when rsa null support is used
put all man pages into
ssl instead of
break the m2crypto modules into a separate package
Tue Mar 13 2001 Nalin Dahyabhai [email protected]
use BN_LLONG on s390
Mon Mar 12 2001 Nalin Dahyabhai [email protected]
fix the s390 changes for 0.9.6 (isn't supposed to be marked as 64-bit)
Sat Mar 03 2001 Nalin Dahyabhai [email protected]
move c_rehash to the perl subpackage, because it's a perl script now
Fri Mar 02 2001 Nalin Dahyabhai [email protected]
update to 0.9.6
enable MD2
use the libcrypto.so and libssl.so targets to build shared libs with
bump the soversion to 1 because we're no longer compatible with any of
the various 0.9.5a packages circulating around, which provide lib*.so.0
Wed Feb 28 2001 Florian La Roche Florian. [email protected]
change hobble-openssl for disabling MD2 again
Tue Feb 27 2001 Nalin Dahyabhai [email protected]
re-disable MD2 -- the EVP_MD_CTX structure would grow from 100 to 152
bytes or so, causing EVP_DigestInit() to zero out stack variables in
apps built against a version of the library without it
Mon Feb 26 2001 Nalin Dahyabhai [email protected]
disable some inline assembly, which on x86 is Pentium-specific
re-enable MD2 (see http://www.ietf.org/ietf/IPR/RSA-MD-all)
Thu Feb 08 2001 Florian La Roche Florian. [email protected]
fix s390 patch
Fri Dec 08 2000 Than Ngo [email protected]
added support s390
Mon Nov 20 2000 Nalin Dahyabhai [email protected]
remove -Wa,* and -m* compiler flags from the default Configure file (#20656)
add the CA.pl man page to the perl subpackage
Thu Nov 02 2000 Nalin Dahyabhai [email protected]
always build with -mcpu=ev5 on alpha
Tue Oct 31 2000 Nalin Dahyabhai [email protected]
add a symlink from cert.pem to ca-bundle.crt
Wed Oct 25 2000 Nalin Dahyabhai [email protected]
add a ca-bundle file for packages like Samba to reference for CA certificates
Tue Oct 24 2000 Nalin Dahyabhai [email protected]
remove libcrypto's crypt(), which doesn't handle md5crypt (#19295)
Mon Oct 02 2000 Nalin Dahyabhai [email protected]
add unzip as a buildprereq (#17662)
update m2crypto to 0.05-snap4
Tue Sep 26 2000 Bill Nottingham [email protected]
fix some issues in building when it's not installed
Wed Sep 06 2000 Nalin Dahyabhai [email protected]
make sure the headers we include are the ones we built with (aaaaarrgh!)
Fri Sep 01 2000 Nalin Dahyabhai [email protected]
add Richard Henderson's patch for BN on ia64
clean up the changelog
Tue Aug 29 2000 Nalin Dahyabhai [email protected]
fix the building of python modules without openssl-devel already installed
Wed Aug 23 2000 Nalin Dahyabhai [email protected]
byte-compile python extensions without the build-root
adjust the makefile to not remove temporary files (like .key files when
building .csr files) by marking them as .PRECIOUS
Sat Aug 19 2000 Nalin Dahyabhai [email protected]
break out python extensions into a subpackage
Mon Jul 17 2000 Nalin Dahyabhai [email protected]
tweak the makefile some more
Tue Jul 11 2000 Nalin Dahyabhai [email protected]
disable MD2 support
Thu Jul 06 2000 Nalin Dahyabhai [email protected]
disable MDC2 support
Sun Jul 02 2000 Nalin Dahyabhai [email protected]
tweak the disabling of RC5, IDEA support
tweak the makefile
Thu Jun 29 2000 Nalin Dahyabhai [email protected]
strip binaries and libraries
rework certificate makefile to have the right parts for Apache
Wed Jun 28 2000 Nalin Dahyabhai [email protected]
use %{_perl} instead of /usr/bin/perl
disable alpha until it passes its own test suite
Fri Jun 09 2000 Nalin Dahyabhai [email protected]
move the passwd.1 man page out of the passwd package's way
Fri Jun 02 2000 Nalin Dahyabhai [email protected]
update to 0.9.5a, modified for US
add perl as a build-time requirement
move certificate makefile to another package
disable RC5, IDEA, RSA support
remove optimizations for now
Wed Mar 01 2000 Florian La Roche Florian. [email protected]
Bero told me to move the Makefile into this package
Wed Mar 01 2000 Florian La Roche Florian. [email protected]
add lib*.so symlinks to link dynamically against shared libs
Tue Feb 29 2000 Florian La Roche Florian. [email protected]
update to 0.9.5
run ldconfig directly in post/postun
add FAQ
Sat Dec 18 1999 Bernhard Rosenkrdnzer [email protected]
Fix build on non-x86 platforms
Fri Nov 12 1999 Bernhard Rosenkrdnzer [email protected]
move /usr/share/ssl/* from -devel to main package
Tue Oct 26 1999 Bernhard Rosenkrdnzer [email protected]
inital packaging
changes from base:
- Move /usr/local/ssl to /usr/share/ssl for FHS compliance
- handle RPM_OPT_FLAGS

Lekinho 에 2016년 06월 07일

@Lekinho 가 github 계정을 삭제한 것 같습니까? 문제가 있는 다음 사람의 경우 OpenSsl 또는 Python 업그레이드로 인해 일부 컴파일된 c 바인딩이 손상되었을 수 있습니다. 그런 업그레이드가 있을 때마다 virtualenv 또는 모든 패키지를 폐기한 다음 새 패키지를 빌드합니다.

jvanasco 에 2016년 06월 07일

@jvanasco 아직 여기 있어요.
나는 이것을 테스트할 수 있는 공개 URL이 있는지 궁금합니다. 해결 방법이 실제로 확인된 사례에 대한 문제를 해결하는지 확인하고 싶습니다(이는 내가 시도하는 동안 뭔가를 망치지 않았음을 의미합니다)

Lekinho 에 2016년 06월 07일

@루카사

작업 버전과 업데이트된 버전 간의 변경 집합의 하위 집합:+1:
2016년 5월 2일 월요일 Tomáš Mráz [email protected] 1.0.1e-48.1
CVE-2016-2105 수정 - base64 인코딩에서 가능한 오버플로
CVE-2016-2106 수정 - EVP_EncryptUpdate()에서 가능한 오버플로
CVE-2016-2107 수정 - 스티치된 AES-NI CBC-MAC의 패딩 오라클
CVE-2016-2108 수정 - ASN.1 인코더의 메모리 손상
CVE-2016-2109 수정 - BIO에서 ASN.1 데이터를 읽을 때 DoS 가능
CVE-2016-0799 수정 - BIO_printf의 메모리 문제

2016년 2월 24일 수요일 Tomáš Mráz [email protected] 1.0.1e-48

CVE-2016-0702 수정 - 모듈식 지수에 대한 부채널 공격
CVE-2016-0705 수정 - DSA 개인 키 구문 분석에서 이중 무료
CVE-2016-0797 수정 - BN_hex2bn 및 BN_dec2bn의 힙 손상

2016년 2월 16일 화요일 Tomáš Mráz [email protected] 1.0.1e-47

CVE-2015-3197 수정 - SSLv2 암호 제품군 시행
일반 TLS 방법에서 SSLv2 비활성화

2016년 1월 15일 금요일 Tomáš Mráz [email protected] 1.0.1e-46

pkcs12 구문 분석에서 1바이트 메모리 누수 수정(#1229871)
속도 명령의 일부 옵션 문서화(#1197095)

2016년 1월 14일 목 Tomáš Mráz [email protected] 1.0.1e-45

타임스탬프 기관에서 고정밀 타임스탬프 수정

2015년 12월 21일 월 Tomáš Mráz [email protected] 1.0.1e-44

CVE-2015-7575 수정 - TLS1.2에서 MD5 사용 금지

2015년 12월 4일 금요일 Tomáš Mráz [email protected] 1.0.1e-43

CVE-2015-3194 수정 - PSS 매개변수가 누락된 인증서 확인 충돌
CVE-2015-3195 - X509_ATTRIBUTE 메모리 누수 수정
CVE-2015-3196 수정 - PSK ID 힌트 처리 시 경쟁 조건

2015년 6월 23일 화요일 Tomáš Mráz [email protected] 1.0.1e-42

Lekinho 에 2016년 06월 08일

업데이트 :
그래서 이것에 대한 해결 방법을 찾았습니다.
기본적으로 한 동료가 이 문제를 읽고 있었고 어떤 이유로든 ECC/ECDH 암호에 대한 RHEL openssl 지원이 100%가 아니라는 게시물을 보았습니다.

명시적으로 ECDH 암호를 비활성화하여 URL에 대한 요청을 시도했습니다(openssl 스크립트 자체의 부정 추가, 즉 openssl s_client -connect 10.85.103.218:8443 -cipher 'DEFAULT:!ECDH')

성공적으로 연결할 수 있었습니다.

다음은 우분투 14.04의 openssl에 대한 기본 암호 목록입니다.
ECDH+ AESGCM:DH+AESGCM :ECDH+AES256:DH+AES256:ECDH+AES128:DH+ AES:ECDH+HIGH :DH+ HIGH:ECDH+3DES :DH+3 DES:RSA+AESGCM :RSA+ AES:RSA+HIGH :RSA +3DES:!aNULL:!eNULL:!MD5

그래서 그 지식으로 pyopenssl을 사용하여 기본 SSL 암호를 인쇄하고 문자열에서 모든 ECDH 암호를 명시적으로 제거했습니다. 요청 패키지에서 urllib3을 가져오기 위해 블록에서 이 작업을 수행했습니까(즉, 실제 요청을 시작하기 전에) 다음과 유사합니다.
https://github.com/kennethreitz/requests/issues/1308

나는 이 행동에 보안 위험이 있을 수 있다는 것을 알고 있지만 적어도 이것은 우리를 움직이게 하고 더 많은 빛을 비춰줍니다.

이러한 특정 암호가 RHEL에 문제로 나타나는 이유는 잘 모르겠습니다.

특정 RHEL 변경 사항이 이를 도입했는지 확인하고 목적에 대해 더 읽을 수 있는 시간이 더 있을 때 시도할 것입니다.

누구나 일반적으로 암호에 대해 더 많이 알고 있습니까?

Lekinho 에 2016년 06월 09일

같은 문제가 있습니다 ... ARG ...

lukas-gitl 에 2016년 06월 15일

@lukas-gitl 좌절은 문제 해결에 도움이 되지 않습니다. 귀하의 환경에 대한 정보를 제공하는 것이 도움이 될 것입니다.

sigmavirus24 에 2016년 06월 15일

@sigmavirus24 사과드립니다. 더 많은 정보를 제공하고 싶었지만 (시간이 없었기 때문에) 부수적인 추적을 받았습니다. 저는 Ubuntu 14.04, python 2.7.6 및 pip에서 최신 요청 버전을 사용하고 있습니다. 이것은 API Gateway 엔드포인트로 액세스하려고 할 때 발생합니다(매우 제한적일 수 있음).

virtualenv를 제거하고 재생성을 시도했지만 불행히도 문제가 해결되지 않았습니다.

그 밖에 무엇이 필요한지 알려주십시오. 한동안 nodejs로 전환했지만 해결에 도움이 되었으면 합니다.

lukas-gitl 에 2016년 06월 15일

@lukas-gitl 연결하려는 서버에 제공하지 않는 암호 또는 제공하지 않는 TLS 버전이 필요할 가능성이 큽니다. 이것은 설치한 OpenSSL과 관련될 수 있습니다. pip install requests[security] 실행도 시도해야 합니다. SNI에 문제가 발생할 수 있습니다.

Lukasa 에 2016년 06월 15일

예, 저도 이미 시도했습니다. 우리가 같은 페이지에 있도록 빠른 테스트 스크립트를 여기에 함께 넣어 보겠습니다.

lukas-gitl 에 2016년 06월 15일

가상 환경 -p /usr/bin/python2.7 환경
소스 환경/빈/활성화
핍 설치 요청
pip 설치 요청[보안]
echo '요청 가져오기' >> test.py
echo 'requests.get("https://API_ID.execute-api.us-west-2.amazonaws.com/ENV/ENPOINT")' >> test.py
파이썬 test.py

lukas-gitl 에 2016년 06월 15일

그리고 어떤 특정 오류가 표시됩니까?

Lukasa 에 2016년 06월 15일

.../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:318: SNIMissingWarning: An HTTPS request has been made, but the SNI (Subject Name Indication) extension to TLS is not available on this platform. This may cause the server to present an incorrect TLS certificate, which can cause validation failures. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#snimissingwarning. SNIMissingWarning .../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:122: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning. InsecurePlatformWarning Traceback (most recent call last): File "test.py", line 2, in <module> requests.get("https://sbsz8eqowe.execute-api.us-west-2.amazonaws.com/dev/segment_to_s3_webhook") File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure```

lukas-gitl 에 2016년 06월 15일

그래서 기본적으로 최신 버전의 Python으로 업데이트해야 합니까?

lukas-gitl 에 2016년 06월 15일

좋습니다. 두 경고 모두 귀하의 요청이 실제로 requests[security]의 확장을 사용하고 있지 않음을 나타냅니다. 실행 중인 Python이 가상 환경에 설치한 Python이 _아님_이 아님을 강력히 제안합니다. requests[security] 확장은 이러한 경고를 제거해야 합니다.

Lukasa 에 2016년 06월 15일

@lukas-gitl 위의 내 메모를 참조하십시오.
서버에 액세스할 수 있습니까? 서버와 클라이언트에 대한 기본 암호 목록을 비교합니다.
그들 중 하나가 다른 하나의 첫 번째 암호 세트를 지원하지 않을 가능성이 높으므로 오류가 발생합니다.

여기에서 사용한 것과 같은 간단한 스크립트로 기본 암호를 확인할 수 있습니다.

!/usr/bin/python

수입 시스템
수입 OS
SSL 가져오기
인쇄(ssl.OPENSSL_VERSION)
sys.path.insert(1, os.path.abspath(os.path.join(os.getcwd(), 'lib')))
sys.path.append('/usr/local/lib/python2.7/dist-packages')
가져오기 요청
requests.packages.urllib3.contrib에서 pyopenssl 가져오기
pyopenssl.inject_into_urllib3()
pyopenssl.DEFAULT_SSL_CIPHER_LIST 인쇄

Lekinho 에 2016년 06월 15일

자, 이제 정말 혼란스럽습니다. 가상 환경에서 오류 메시지가 나타납니다. 다른 파이썬 환경에서 실행하는 동안 어떻게 거기에서 올 수 있습니까?

lukas-gitl 에 2016년 06월 15일

그래서 $ pip install requests[security] pip install pyopenssl ndg-httpsclient pyasn1 를 시도했는데 효과가 있었습니다...

lukas-gitl 에 2016년 06월 15일

🎉4 👍2

아하, 귀하의 핍이 엑스트라를 처리하기에는 너무 오래된 것 같습니다.

Lukasa 에 2016년 06월 15일

👍1

아, 젠장. 그것은 많은 것을 설명합니다. 당신의 도움을 주셔서 대단히 감사합니다!

lukas-gitl 에 2016년 06월 15일

🎉1

여기서 동일한 문제가 발생했습니다. 다음 코드로 GET 요청을 보내야 했습니다.
requests.get('https://mdskip.taobao.com/core/initItemDetail.htm?itemId=530444505608&showShopProm=false&queryMemberRight=true&isRegionLevel=false&tmallBuySupport=true&addressLevel=2&sellerPreview=false&isForbidBuyItem=false&cachedTimestamp=1466835924196&offlineShop=false&household=false&tryBeforeBuy=false&isSecKill=false&service3C=false&isApparel=true&isUseInventoryCenter=false&cartEnable=true&isAreaSell=false&callback=setMdskip&timestamp=1466841669969&isg=Al9faN3XWRpIf6UEoQ88UH/1b7np0rNm&ref=https%3A%2F%2Fs.taobao.com%2Fsearch%3Fq%3D%25E6%258B%2589%25E5%25A4%258F%25E8%25B4%259D%25E5%25B0%2594%26imgfile%3D%26commend%3Dall%26ssid%3Ds5-e%26search_type%3Ditem%26sourceId%3Dtb.index%26spm%3Da21bo.50862.201856-taobao-item.1%26ie%3Dutf8%26initiative_id%3Dtbindexz_20160625')

불행히도 나는 오류 정보를 받았습니다:
Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

나는 brew install openssl, brew upgrade openssl, pip install --upgrade pip, pip install requests, pip install request[security]를 시도했지만 작동하지 않았습니다.

그러나 openssl version I get OpenSSL 0.9.8zh 14 Jan 2016 을 입력하면 괜찮은지 모르겠습니다.

저를 도와줄 수 있는 사람이 있습니까?

jschwinger23 에 2016년 06월 25일

@jschwinger23 pip install pyopenssl ndg-httpsclient pyasn1 도 실행해 주실 수 있나요?

Lukasa 에 2016년 06월 25일

👍1

@Lukasa 답변 감사합니다. 설치했음을 재확인했습니다.

$ pip install pyopenssl ndg-httpsclient pyasn1 Requirement already satisfied (use --upgrade to upgrade): pyopenssl in /System/Library/Frameworks/Python.framework/Versions/2.7/Extras/lib/python Requirement already satisfied (use --upgrade to upgrade): ndg-httpsclient in /Library/Python/2.7/site-packages Requirement already satisfied (use --upgrade to upgrade): pyasn1 in /Library/Python/2.7/site-packages

그러나 코드는 여전히 다운되어 있습니다.

어쨌든 Python3에서는 모든 것이 잘 된다는 것을 알게 되었고, python3에서 코딩할 수 있게 되어 기쁩니다.
매우 감사합니다.

jschwinger23 에 2016년 06월 25일

위의 지침을 따랐지만 여전히 이 문제가 발생합니다.

``` Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

어떤 아이디어?
``````

rohanpai 에 2016년 07월 24일

@rohanpai 암호 겹침이 없거나 원격 서버가 제공하는 버전에 만족하지 않거나 클라이언트 인증서를 제공해야 하지만 제공하지 않을 수 있습니다. 더 구체적인 조언을 드리기는 어렵습니다. 문제를 조사하려면 이것을 시도하십시오.

Lukasa 에 2016년 07월 24일

우분투 14.04LTS에서 나는 이것을해야했습니다 :

sudo pip install ndg-httpsclient pyasn1 --upgrade

Ubuntu에서는 pyopenssl 가 OS 소유이므로 업그레이드/제거할 수 없습니다.

markstrefford 에 2016년 10월 08일

👍5 😕1

markstrefford의 솔루션은 mac os sierra에서도 저에게 효과적이었습니다.

contmp 에 2016년 12월 18일

👍2

@markstrefford 의 솔루션도 저에게 효과적이었습니다.

SethGoodLuckMartin 에 2017년 02월 17일

OpenSSL 1.1을 사용하는 모든 사람을 위해 주의하십시오.
원격 서버가 첫 번째 옵션으로 타원 곡선을 제공할 때 TLS 어댑터를 강제 실행하는 경우에도 이 문제가 발생합니다.
원인은 http://bugs.python.org/issue29697 입니다.

melvyn-sopacua 에 2017년 04월 02일

얘들 아! 다음 서버 https://34.200.105.231/SID/Service.svc?wsdl 에 동일한 문제가 있습니다. 나는 모든 것을 시도했고 동일한 2개의 오류에서 점프했습니다.

requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)
requests.exceptions.SSLError: EOF occurred in violation of protocol (_ssl.c:661)

어떤 아이디어? @Lukasa , 인증서에 몇 가지 문제가 있지만 그렇게 나쁘지는 않은 것 같습니다. https://sslanalyzer.comodoca.com/?url=34.200.105.231

santiagobasulto 에 2017년 04월 28일

인증서는 일반적으로 이 문제를 일으키지 않습니다. 이 문제는 우리에게 전화를 끊은 서버 로 인해 발생하므로 일반적으로 암호 제품군 불일치의 결과입니다. 이 경우 여기에서 볼 수 있는 것과 같은 상황이 발생합니다.

이것은 솔직히 공개된 인터넷에 절대 노출되어서는 안 되는 서버입니다. 이 서버와 통신하는 안전한 방법은 없습니다. 없음, 0입니다. 이것이 핸드셰이크가 실패하는 이유입니다. 요청은 최신 암호 제품군만 허용하며 이 서버에서 사용할 수 있는 최신 암호 제품군은 없습니다. 가장 좋은 옵션은 TLS_RSA_WITH_3DES_EDE_CBC_SHA 이며 대규모 데이터 전송에 대한 실제 공격에 취약하기 때문에 제거한 옵션입니다.

이 서버가 귀하의 것이라면 더 나은 TLS 구현으로 업그레이드하거나 설정을 변경 하십시오 . 그렇지 않다면, 제 첫 번째 조언은 이 서버와 대화하는 것을 재고하라는 것입니다. 필요한 경우 여기 에서 코드를 사용할 수 있지만 서버 운영자에게 이 혼란을 해결하도록 압력을 가하는 것이 좋습니다 .

Lukasa 에 2017년 04월 28일

@Lukasa -- 모두와 함께 작업해주셔서 감사합니다! 나는 이것의 대부분을 읽고 시도했습니다

문제

Windows에서 스크립트를 실행하면 모두 작동합니다.
OSX에서 스크립트를 실행할 때 다음을 수신합니다.

raise SSLError(e, request=request)
requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)

나는 그것이 서버 자체가 아니라고 확신하지만, 이 토끼 구멍에서 나를 확인 및/또는 꺼내기 위해 추가 도움을 주시면 감사하겠습니다. 그것을 작동시키는 데 큰 승리가 될 것입니다.

OSX 사양:

파이썬 파이썬 2.7.10
OpenSSL OpenSSL 1.1.1-dev xx XXX xxxx(GitHub을 통해 컴파일됨)
PIP를 사용하여 설치

시도

제거된 pyopenssl, 요청, 요청[보안], 암호화
env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install --force-reinstall --no-cache-dir {PACKAGE} 에 대해 설치됨

나는 openssl에 대한 설치가 실제로 아무 것도 하지 않았다고 100% 확신할 수 없습니다(예: 속도와 메시징이 모두 동일하게 나타남).

openSSL appears 를 통해 직접 연결하는 다른 스레드(위)에서 지시한 대로 행복할까요?

openssl s_client -connect XXX.102.7.147:443
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 198 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1493384325
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---

IceBearZero 에 2017년 04월 28일

어...OpenSSL은 기술적으로 괜찮지만 OpenSSL은 암호를 협상하지 않았습니다(즉, SSL_NULL_WITH_NULL_NULL 협상한 것으로 보입니다. 서버에 대해 ssllabs를 실행하고 지원하는 암호 제품군을 확인할 수 있습니까?

Lukasa 에 2017년 04월 28일

@Lukasa 인터넷에 노출되지 않았습니다. 적절한 통찰력을 제공할 수 있는 몇 가지 명령줄 조사가 있습니까?

IceBearZero 에 2017년 04월 28일

cipherscan 을 시도할 수 있습니다.

Lukasa 에 2017년 04월 28일

@Lukasa 가 설치했습니다 ... 작동이 불안정합니다(출력 없음, 보고 있음) ... 전달할 수 있는 것이 있으면 다시 게시합니다. 안내해주셔서 감사합니다!

IceBearZero 에 2017년 04월 28일

@Lukasa 도움을 주셔서 대단히 감사합니다. 실제로 암호 스캔이 작동하지 않았지만 문제를 수정했습니다. 이것은 이것과 아무 관련이 없었고 우리 환경 전반에 걸친 어리석은 IP 불일치였습니다... 교훈을 얻었습니다! 감사합니다 ...

IceBearZero 에 2017년 04월 28일

전혀 문제가 없습니다. 정리가 되셨다니 다행입니다!

Lukasa 에 2017년 04월 28일

streamlink -l 디버그 h ttpstream ://https ://www.arconaitv.us/stream.php?id=43 최악
[cli][info] streamlink가 루트로 실행 중입니다! 조심하세요!
[cli][디버그] OS: Linux-4.14.0-041400-generic-x86_64-with-Ubuntu-14.04-trusty
[cli][디버그] 파이썬: 2.7.6
[cli][디버그] 스트림링크: 0.13.0+27.g2ff314c
[cli][디버그] Requests(2.19.1), Socks(1.6.7), Websocket(0.48.0)
[cli][info] URL h ttpstream ://https ://www.arconaitv.us/stream.php?id=43에 대해 일치하는 플러그인 http를 찾았습니다.
[플러그인.http][디버그] URL= https://www.arconaitv.us/stream.php?id=43; 매개변수={}
[cli][info] 사용 가능한 스트림: 라이브(최악, 최고)
[cli][info] 오프닝 스트림: 라이브(http)
[cli][디버그] 사전 버퍼링 8192바이트
[cli][info] 시작 플레이어: /usr/bin/vlc
[cli][디버그] 출력에 스트림 쓰기
[cli][info] 스트림 종료
[cli][info] 현재 열려 있는 스트림을 닫습니다..

시도했지만 운이 없다

maanich 에 2018년 06월 15일

atlast는 로컬 PC에서 작동하는 tvplayer를 얻었습니다. 내 로컬 PC에 tinyproxy를 설치했지만 vps httpproxy xxxx가 작동하지 않습니다.
tinyproxy는 괜찮습니다. 아니면 로컬 PC에 설치할 다른 프록시 서버가 필요합니다.

작은 프록시.txt

maanich 에 2018년 06월 15일

@maanich 안녕하세요. 이것은 이 문제와 직접적인 관련이 없거나 이 문제 추적기가 예약되어 있는 Requests에 대한 결함 보고서로 보이지 않습니다. 시스템 구성에 대한 질문이 있는 경우 StackOverflow 와 같은 플랫폼에서 가장 잘 해결될 것입니다. 감사 해요!

nateprewitt 에 2018년 06월 15일

streamlink --https-proxy " http://8xxxx :8000/" --tvplayer-email [email protected] --tvplayer-password vcvdf3 --http-no-ssl-verify https://tvplayer.com/watch /itv 베스트 --player-no-close --stdout | /var/tmp/youtube/ffmpeg -y -i 파이프:0 -vcodec 복사 -acodec 복사 -flags -global_header -hls_flags delete_segments -hls_time 10 -hls_list_size 6 /mnt/hls/arc.m3u8
ffmpeg 버전 4.0-정적 https://johnvansickle.com/ffmpeg/ Copyright (c) 2000-2018 FFmpeg 개발자
gcc 6.3.0으로 빌드(Debian 6.3.0-18+deb9u1) 20170516
구성: --enable-gpl --enable-version3 --enable-static --disable-debug --disable-ffplay --disable-indev=sndio --disable-outdev=sndio --cc=gcc-6 -- enable-libxml2 --enable-fontconfig --enable-frei0r --enable-gnutls --enable-gray --enable-libaom --enable-libfribidi --enable-libass --enable-libfreetype --enable-libmp3lame -- enable-libopencore-amrnb --enable-libopencore-amrwb --enable-libopenjpeg --enable-librubberband --enable-libsoxr --enable-libspeex --enable-libvorbis --enable-libopus --enable-libtheora --enable -libvidstab --enable-libvo-amrwbenc --enable-libvpx --enable-libwebp --enable-libx264 --enable-libx265 --enable-libxml2 --enable-libxvid --enable-libzimg
libavutil 56. 14.100 / 56. 14.100
리바브코덱 58. 18.100 / 58. 18.100
리바브포맷 58. 12.100 / 58. 12.100
리바브장치 58. 3.100 / 58. 3.100
리바브필터 7. 16.100 / 7. 16.100
libswscale 5. 1.100 / 5. 1.100
libswresample 3. 1.100 / 3. 1.100
libpostproc 55. 1.100 / 55. 1.100
[콘솔][정보] streamlink가 루트로 실행 중입니다! 조심하세요!
[콘솔][정보] URL https://tvplayer.com/watch/itv 에 대해 일치하는 플러그인 tvplayer를 찾았습니다.
오류 : 열려있는 URL에 없습니다 https://live.tvplayer.com/stream.m3u8?id=204&Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cCo6XC9cL2xpdmUudHZwbGF5ZXIuY29tXC9zdHJlYW0ubTN1OD9pZD0yMDQiLCJDb25kaXRpb24iOnsiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE1MjkwNTc0OTR9LCJJcEFkZHJlc3MiOnsiQVdTOlNvdXJjZUlwIjoiNjIuMjEwLjE0Mi42NlwvMzIifX19XX0_&Signature=mHOteYcUu4QsbGD n0e ~ 7meDUGT8VN7bVOBAHa-0Mk6ROA9XHYx3aIAZMAo3dFjOGuWk-3MszJzRFHdv ~ -CCsmX3D8XQa2zvzfuIWfMAT ~ yDshroXBN25iW6ZJ0-7lGla00jMTUpm5sW-uDy18OkiBWgGvDVas2Lz-EW ~ 5 LTw2YWvEpqkvRB9OpcsHJj9RRQLuDVjwYKXwKvHTJmB1J ~sGE3aigaL7AZyBaIAUMcpk-xYMpDuPV9BsBN9AT397lFfRPFt155u~yeBHZ4JlUN2GINUBt0-CzGuYVq3dsO kYYEZJo9cQTVhArpo7ek03VbDP5egtCM8obN63VbDP5egtCM8obN63오류용 클라이언트
pipe:0 : 입력을 처리할 때 잘못된 데이터가 발견되었습니다.

스트림링크에 어떤 프록시 서버가 좋은지 조언 부탁드립니다.

maanich 에 2018년 06월 15일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Requests: https GET 요청이 "핸드셰이크 실패"와 함께 실패합니다.

가장 유용한 댓글

모든 83 댓글

!/usr/bin/python

문제

OSX 사양:

시도

관련 문제