К сожалению, это не связано с проблемой, которую вы определили, и полностью зависит от дрянного OpenSSL, с которым OS X поставляется по умолчанию. Версия 0.9.8y имеет некоторые реальные проблемы с выполнением рукопожатий SSL, и некоторые серверы не очень хорошо это переносят. Использование Python 3 на моем компьютере с OS X (поэтому используется более новый OpenSSL) показывает, что проблем нет.

У вас есть два варианта:

1. Установите OpenSSL из Homebrew, затем установите новую версию Python 2 из Homebrew, которая автоматически свяжется с OpenSSL, предоставленным Homebrew.
2. Установите OpenSSL из Homebrew, а затем установите PyOpenSSL для этой новой версии, запустив env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install PyOpenSSL .

Ах, похоже, тогда я следовал за отвлекающим маневром - я все равно не планирую развертывать что-либо на OSX. Похоже, я перенесу тестирование на виртуальный ящик Linux. Приносим извинения за этот многословный вопрос!

Не нужно извиняться, задать этот вопрос было правильно: знать, что у OS X есть эта проблема, — это странно специфичное знание. знак равно

Ладно, это облом. Я создал 32-битный образ Virtualbox сервера Ubuntu 14.04 через Vagrant, и все это все еще происходит, за исключением случая с SSLv2, где он не работает, потому что протокол не включен в версию OpenSSL в Ubuntu 14.04 (я полагаю, что по замыслу - SSLv2 устарел и устаревшее).

Версии:
Ubuntu 14.04 32bit (через комбинацию Vagrant/Virtualbox)
Питон 2.7.6
запросы == 2.2.1
запросы-инструментальный пояс == 0.2.0
urllib3==1.8.2

РЕДАКТИРОВАТЬ: забыл версию OpenSSL...

python -c "импортировать ssl; распечатать ssl.OPENSSL_VERSION"
OpenSSL 1.0.1f 6 января 2014 г.

TLSv1:

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('TLSv1')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv2:

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv3')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv23:

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv23')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

Возможно, тогда это проблема списка шифров? Или используемая здесь версия OpenSSL все еще проблематична?

Я абсолютно готов потратить некоторое время, чтобы помочь отладить это, если это необходимо... если вы, ребята, дадите мне какое-то направление.

ВМ загружается. Я не могу воспроизвести это в ArchLinux.
Трассировки стека указывают на это, но я хотел бы быть уверен: вы _не_ используете PyOpenSSL, а только stdlib?

@ t-8ch Спасибо, что посмотрели, я немного запутался. OpenSSL сильно усложняет мне жизнь =(

@ t-8ch Я не устанавливал PyOpenSSL, если вы об этом спрашиваете?

Я бы предположил (возможно, неправильно), что pip install requests должен дать мне все необходимое для успешного вызова requests.get('...') на странице HTTPS. Что, конечно, по большей части работает, только не для этого сайта почему-то.

@jaddison Это _в основном_ так и есть. К сожалению, стандартная библиотека Python 2.7 сильно отстой и не поддерживает некоторые функции, такие как SNI.

Интересно, это SNI...

@jaddison За кулисами есть два разных пути кода. Вам не нужно заботиться об этом, но это помогает знать при отладке.

Однако теперь я могу воспроизвести это на Ubuntu. Но только о Пы2. На Py3 все нормально.
Я подозреваю, что @Lukasa прав, и сервер выходит из строя, когда клиент не использует SNI.

Меня беспокоит, что отсутствие SNI дает сбой по-разному, в зависимости от рассматриваемого сервера.

Я заметил это изменение между OpenSSL 1.0.1f и 1.0.1g (https://www.openssl.org/news/openssl-1.0.1-notes.html):

Add TLS padding extension workaround for broken servers.

РЕДАКТИРОВАТЬ: Ах, неважно - я думаю, ошибка не должна варьироваться между Py 2 и 3.

@jaddison Чтобы проверить, является ли это SNI, вам нужно установить требования SNI для Python 2.

@Лукаса был прав. Сравнивать:

$ openssl s_client -connect docs.apitools.com:443                              
CONNECTED(00000003)
139846853338768:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:762:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 517 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

$  openssl s_client -connect docs.apitools.com:443 -servername docs.apitools.com
... happy handshake here

Чтобы уточнить: вторая команда включает функциональность SNI openssl s_client .

Вы можете а) переключиться на python3 б) установить дополнительные зависимости.
В stdlib на данный момент нет возможности сделать SNI.

Спасибо за быстрый отзыв. Поскольку ошибки нет, я закрою это... снова.

Эй, спасибо, ребята !! Я установил python3 на свой Mac и, бум, он работает.

Просто хочу вмешаться и сказать, что я столкнулся с этой проблемой в OS X 10.9.5, Python 2.7.7 и OpenSSL 0.9.8zc.

Мне удалось исправить проблему с рукопожатием:

1. Установка более новой версии OpenSSL на мою машину через brew install OpenSSL
2. Компиляция и установка пакета cryptography , связанного с новым OpenSSL ( env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install cryptography )
3. Установка запросов с поддержкой SNI путем выполнения pip install requests[security]

Спасибо, @Microserf. Я в значительной степени использую те же спецификации (10.9.5, Python 2.7.6, установленный через Homebrew, но скомпилированный с системой, предоставленной OpenSSL 0.9.8zg), и это был весь мой процесс установки и запуска requests для Django. :

brew install openssl

Установите requests с кучей SNI , скомпилированных для нашей новой установки OpenSSL. Опция [security] просто устанавливает pyopenssl ndg-httpsclient pyasn1

env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install requests[security] urllib3

И мы готовы идти:

"""
This may or may not be needed. See:
https://urllib3.readthedocs.org/en/latest/security.html#openssl-pyopenssl
"""
# from urllib3.contrib import pyopenssl
# pyopenssl.inject_into_urllib3()

import requests
# r = requests.get(...)

Есть ли окончательный ответ о том, как заставить это работать на Ubuntu? Я столкнулся с этой проблемой, и похоже, что единственный ответ здесь касается того, как заставить это работать на Mac. Обновление всей нашей кодовой базы до Python 3 не вариант.

Хорошо, я, возможно, только что ответил на свой вопрос. То, что я сделал, сводится к:

sudo apt-get install libffi-dev
pip install pyOpenSSL ndg-httpsclient pyasn1

@lsemel спасибо, это сэкономило мне кучу времени

@lsemel Ты уверен? Я попробовал это на Ubuntu 15.10, и он по-прежнему не работает с Python 2.7.10.

Он работает с Python 2.7 на Travis CI:
https://travis-ci.org/playing-se/swish-python

Получил это, чтобы работать сейчас! Я просто удалил pyOpenSSL:
pip uninstall pyOpenSSL

Может быть, нам следует использовать pyopenssl.inject_into_urllib3() только в том случае, если версия Python меньше 2.7.9? pyOpenSSL, кажется, ломает вещи в Ubuntu и Windows, если версия Python 2.7.10.

PyOpenSSL не должен ничего ломать. Если это так, это ошибка, о которой следует сообщить.

Мне придется изучить это, но есть ли веская причина для внедрения pyopenssl в urllib3, если версия Python 2.7.9 или новее?

Я думаю о чем-то вроде этого:

# Check if Modern SSL with SNI support
try:
    from ssl import SSLContext
    from ssl import HAS_SNI
except ImportError:
    # Attempt to enable urllib3's SNI support, if possible
    try:
        from .packages.urllib3.contrib import pyopenssl
        pyopenssl.inject_into_urllib3()
    except ImportError:
        pass

Да, часто есть. Например, в OS X большинство Python связываются с системой OpenSSL версии 0.9.8zg. Однако PyOpenSSL будет ссылаться на гораздо более новый OpenSSL (1.0.2). Это делает использование PyOpenSSL существенным улучшением безопасности.

Кроме того, PyOpenSSL дает нам гораздо лучший доступ к OpenSSL, позволяя нам более эффективно защищать его.

Хорошо, я немного поиграл с этим сейчас.

Он РАБОТАЕТ с pyopenssl, НО не если установлен ndg-httpsclient.

Однако я могу заставить его работать с ndg-httpsclient, если я удалю pyasn1, выдающий мне эти предупреждения:

/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/ssl_peer_verification.py:25: UserWarning: SubjectAltName support is disabled - check pyasn1 package installation to enable
  warnings.warn(SUBJ_ALT_NAME_SUPPORT_MSG)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)

Такое же поведение в Ubuntu 15.10 и Windows 10 с установленным Python 2.7.10.

Это потому, что без ndg-httpsclient поддержка PyOpenSSL не используется.

Да, мне придется разобраться, почему это работает, если SubjectAltName отключен. Есть идеи?

Почти наверняка проблема в том, что вы используете разные OpenSSL в каждом случае.

У меня была такая же проблема с моей коробкой Ubuntu 14.04 и Python 2.7.11.

Это из СНИ

Что сработало для меня, так это:

• запросы на удаление
• удалить urllib3
• установить различные криптозависимости
• установить urllib3
• install urllib3[secure] # на всякий случай
• запросы на установку

Я думаю, что во время установки была проверка urllib3 или запросов, из-за которых вещи не работали без удаления.

@jvanasco , что вы используете для установки этих пакетов? Я полагаю, Пип. Почему вы устанавливаете urllib3 и запросы отдельно?

Ну, мне нужен был urllib3 в virtualenv... но я установил его, чтобы попытаться установить требования с помощью pip и easy_install. (использовал оба)

У меня есть веб-индексатор, и несколько URL-адресов сломались. Я написал быстрый скрипт, чтобы попробовать сломанные, и продолжал переустанавливать / удалять + устанавливать пакеты в инструкциях urllib3 по проблемам с ssl, пока они не заработали.

31 мая 2016 г., в 19:25 Ян Кордаско, [email protected] , написал:

@jvanasco , что вы используете для установки этих пакетов? Я полагаю, Пип. Почему вы устанавливаете urllib3 и запросы отдельно?

—
Вы получаете это, потому что вас упомянули.
Ответьте на это письмо напрямую, просмотрите его на GitHub или отключите ветку.

Я все еще вижу эту проблему, и я пробовал предложенные обходные пути.
Я обновил свою версию Python до 2.7.11.
Я установил 3 дополнительных пакета.

Я попробовал последовательность удаления/установки, предложенную @jvanasco , и все равно получил SSLError
Также с использованием Ubuntu 14.04, к сожалению, нет обновления OpenSSL, поэтому мне приходится использовать обходные пути, опубликованные здесь, и мне не повезло.

Какие-то дополнительные шаги вы, ребята, возможно, предприняли?

Спасибо

@Lekinho Я обнаружил, что создание короткого тестового сценария для проверки домена, с которым у меня возникли проблемы, помогло.

это было просто:

 import requests
 r = requests.get(bad_url)
 print r.__dict__

@Lekinho Вы можете извлечь pyopenssl из запросов в своем коде:

try:
    from requests.packages.urllib3.contrib import pyopenssl
    pyopenssl.extract_from_urllib3()
except ImportError:
    pass

@Lekinho Если вы все еще сталкиваетесь с этой проблемой с Python 2.7.11, весьма вероятно, что удаленный сервер не поддерживает настройки TLS, используемые запросами. Доступен ли рассматриваемый сервер в общедоступном Интернете? Если да, можете ли вы предоставить мне URL-адрес?

я пробовал импорт pyopenssl, как было предложено.
К сожалению, в открытом доступе это недоступно.
Однако у меня есть точная информация о том, какая версия openSSL установлена ​​на сервере.
По сути, мы запускаем виртуальную машину RedHat, у меня был этот openSSL, когда все работало: openssl-1.0.1e-42.el6_7.4.x86_64

Затем мы сделали обновление RedHat, и появилось обновление для openssl: openssl-1.0.1e-48.el6_8.1.x86_64.

В этой версии всегда возникает проблема с неправильным рукопожатием при использовании openssl в Ubuntu 14.04.

У вас, ребята, есть какие-либо общедоступные URL-адреса, с которыми я могу попробовать, чтобы увидеть, помогли ли обходные пути решить проблему, и проблема заключается именно в этой уникальной комбинации?

На той же машине все в порядке, когда запросы REST отправляются через браузер (т.е. без ubuntu openssl).

Спасибо

Можете ли вы предоставить вывод rpm -q --changelog openssl , пожалуйста?

[ admin@leke-2-2-8-11 ~]$ rpm -q --changelog openssl

• Пн, 02 мая 2016 г. Томаш Мраз [email protected] 1.0.1e-48.1
• исправить CVE-2016-2105 - возможное переполнение в кодировке base64
• исправить CVE-2016-2106 - возможное переполнение в EVP_EncryptUpdate()
• исправление CVE-2016-2107 - заполнение оракула в прошитом AES-NI CBC-MAC
• исправить CVE-2016-2108 — повреждение памяти в кодировщике ASN.1
• исправить CVE-2016-2109 — возможный отказ в обслуживании при чтении данных ASN.1 из BIO
• исправить CVE-2016-0799 — проблемы с памятью в BIO_printf
• Ср, 24 февраля 2016 г. Томаш Мраз [email protected] 1.0.1e-48
• исправление CVE-2016-0702 — атака по сторонним каналам на модульное возведение в степень
• исправление CVE-2016-0705 — двойное освобождение при разборе закрытого ключа DSA
• исправить CVE-2016-0797 — повреждение кучи в BN_hex2bn и BN_dec2bn
• Вт, 16 февраля 2016 г. Томаш Мраз [email protected] 1.0.1e-47
• исправить CVE-2015-3197 — принудительное применение набора шифров SSLv2
• отключить SSLv2 в общем методе TLS
• Пт, 15 января 2016 г. Томаш Мраз [email protected] 1.0.1e-46
• исправить 1-байтовую утечку памяти при синтаксическом анализе pkcs12 (#1229871)
• задокументировать некоторые параметры команды скорости (#1197095)
• Чт, 14 января 2016 г. Томаш Мраз [email protected] 1.0.1e-45
• исправить высокоточные временные метки в органе временных меток
• Пн, 21 декабря 2015 г. Томаш Мраз [email protected] 1.0.1e-44
• исправить CVE-2015-7575 — запретить использование MD5 в TLS1.2
• Пт, 04 декабря 2015 г. Томаш Мраз [email protected] 1.0.1e-43
• исправить CVE-2015-3194 — сбой проверки сертификата с отсутствующим параметром PSS
• исправить CVE-2015-3195 — утечка памяти X509_ATTRIBUTE
• исправить CVE-2015-3196 — состояние гонки при обработке подсказки идентификации PSK
• Вт, 23 июня 2015 г. Томаш Мраз [email protected] 1.0.1e-42
• исправить регрессию, вызванную ошибкой в ​​исправлении для CVE-2015-1791
• Чт, 11 июня 2015 г. Томаш Мраз [email protected] 1.0.1e-41
• улучшенное исправление для CVE-2015-1791
• добавить отсутствующие части исправления CVE-2015-0209 для корректности, хотя и неэксплуатируемого
• Вт, 09 июня 2015 г. Томаш Мраз [email protected] 1.0.1e-40
• исправить CVE-2014-8176 — неверный свободный код буферизации DTLS
• исправить CVE-2015-1789 — чтение за пределами допустимого диапазона в X509_cmp_time
• исправить CVE-2015-1790 — сбой PKCS7 с отсутствующим EncryptedContent
• исправить CVE-2015-1791 — обработка состояния гонки NewSessionTicket
• исправить CVE-2015-1792 — CMS проверяет бесконечный цикл с неизвестной хэш-функцией
• Вт, 02 июня 2015 г. Томаш Мраз [email protected] 1.0.1e-39
• исправление CVE-2015-3216 — регресс в блокировке RAND, который может вызвать segfaults на
  чтение в многопоточных приложениях
• Пн, 25 мая 2015 г. Томаш Мраз [email protected] 1.0.1e-38
• исправление CVE-2015-4000 — предотвращение лог-джема на клиенте — ограничение
  размер ключа DH не менее 768 бит (лимит будет увеличен в будущем)
• Ср, 25 марта 2015 г. Томаш Мраз [email protected] 1.0.1e-37
• снимите ограничение AES-GCM на 2 ^ 32 операции, потому что IV
  всегда 96 бит (32-битное фиксированное поле + 64-битное поле вызова)
• Чт, 19 марта 2015 г. Томаш Мраз [email protected] 1.0.1e-36
• обновить исправление для CVE-2015-0287 до того, что было выпущено в основной ветке
• Ср, 18 марта 2015 г. Томаш Мраз [email protected] 1.0.1e-35
• исправить CVE-2015-0209 — возможное использование после освобождения в d2i_ECPrivateKey()
• исправить CVE-2015-0286 — неправильная обработка логического сравнения ASN.1
• исправить CVE-2015-0287 — повреждение памяти при повторном использовании структуры ASN.1 при декодировании
• исправить CVE-2015-0288 — разыменование указателя X509_to_X509_REQ NULL
• исправить CVE-2015-0289 — разыменование NULL, декодирующее недопустимые данные PKCS#7
• исправление CVE-2015-0292 — потеря значимости целого числа в декодере base64
• исправление CVE-2015-0293 — активируемое утверждение на сервере SSLv2
• Вт, 03 марта 2015 г. Томаш Мраз [email protected] 1.0.1e-34
• алгоритм копирования дайджеста при обработке переключения контекста SNI
• улучшить документацию наборов шифров - патч от Hubert Kario
• добавить поддержку настройки службы Kerberos и keytab в
  s_server и s_client
• Вт, 13 января 2015 г. Томаш Мраз [email protected] 1.0.1e-33
• исправить CVE-2014-3570 — некорректное вычисление в BN_sqr()
• исправить CVE-2014-3571 — возможный сбой в dtls1_get_record()
• исправление CVE-2014-3572 — возможное понижение набора шифров ECDH до состояния, отличного от PFS
• исправить CVE-2014-8275 — различные проблемы с отпечатками сертификатов
• исправить CVE-2015-0204 — удалить поддержку эфемерных ключей RSA для неэкспорта
  наборы шифров и на сервере
• исправить CVE-2015-0205 — не разрешать неаутентифицированный клиентский сертификат DH
• исправление CVE-2015-0206 — возможная утечка памяти при буферизации записей DTLS
• Чт, 16 октября 2014 г. Томаш Мраз [email protected] 1.0.1e-32
• использовать одобренный FIPS метод для вычисления d в RSA
• Ср, 15 октября 2014 г. Томаш Мраз [email protected] 1.0.1e-31
• исправить CVE-2014-3567 — утечка памяти при обработке билетов сеанса
• исправить CVE-2014-3513 — утечка памяти в поддержке srtp
• добавить поддержку резервного SCSV для частичного смягчения последствий CVE-2014-3566.
  (дополняющая атака на SSL3)
• Пт, 15 августа 2014 г. Томаш Мраз [email protected] 1.0.1e-30
• добавить расширения ECC TLS в DTLS (#1119800)
• Пт, 08 августа 2014 г. Томаш Мраз [email protected] 1.0.1e-29
• исправление CVE-2014-3505 — doublefree при обработке пакетов DTLS
• исправить CVE-2014-3506 — избежать исчерпания памяти в DTLS
• исправить CVE-2014-3507 — избежать утечки памяти в DTLS
• исправить CVE-2014-3508 — исправить обработку OID, чтобы избежать утечки информации
• исправить CVE-2014-3509 — исправить состояние гонки при разборе приветствия сервера
• исправить CVE-2014-3510 — исправить DoS в анонимной (EC) обработке DH в DTLS
• исправить CVE-2014-3511 — запретить понижение версии протокола из-за фрагментации
• Пн, 16 июня 2014 г. Томаш Мраз [email protected] 1.0.1e-28
• исправить CVE-2014-0224, нарушившее поддержку возобновления сеанса EAP-FAST
• Пт, 6 июня 2014 г. Томаш Мраз [email protected] 1.0.1e-26
• удалить EXPORT, RC2 и DES из списка шифров по умолчанию (#1057520)
• напечатать размер эфемерного ключа, согласованный в рукопожатии TLS (#1057715)
• не включать наборы шифров ECC в приветствие клиента SSLv2 (#1090952)
• правильно определить сбой шифрования в BIO (#1100819)
• сбой при проверке целостности hmac, если файл .hmac пуст (#1105567)
• Режим FIPS: установите ограничения на генератор ключей DSA, DH и RSA.
  длина применяется, только если среда OPENSSL_ENFORCE_MODULUS_BITS
  переменная установлена
• Пн, 02 июня 2014 г. Томаш Мраз [email protected] 1.0.1e-25
• исправление CVE-2010-5298 — возможное использование памяти после освобождения
• исправить CVE-2014-0195 — переполнение буфера из-за недопустимого фрагмента DTLS
• исправление CVE-2014-0198 — возможное разыменование нулевого указателя
• исправить CVE-2014-0221 — DoS из-за недопустимого пакета рукопожатия DTLS
• исправить CVE-2014-0224 — MITM-уязвимость SSL/TLS
• исправить CVE-2014-3470 - DoS на стороне клиента при использовании анонимного ECDH
• Чт, 22 мая 2014 г. Томаш Мраз [email protected] 1.0.1e-24
• добавить поддержку кривой EC secp521r1
• Пн 07 апр 2014 Томаш Мраз [email protected] 1.0.1e-23
• исправление CVE-2014-0160 — раскрытие информации в расширении пульса TLS
• Пн, 17 марта 2014 г. Томаш Мраз [email protected] 1.0.1e-22
• использовать 2048-битный ключ RSA в самотестировании FIPS
• Ср, 19 февраля 2014 г. Томаш Мраз [email protected] 1.0.1e-21
• добавить DH_compute_key_padded, необходимый для тестирования FIPS CAVS
• сделать силу 3des равной 128 битам вместо 168 (#1056616)
• Режим FIPS: не генерировать ключи DSA и параметры DH < 2048 бит.
• Режим FIPS: используйте утвержденный генератор ключей RSA (допускаются только 2048- и 3072-битные ключи)
• Режим FIPS: добавить самопроверку DH
• Режим FIPS: корректное повторное заполнение DRBG на RAND_add()
• Режим FIPS: добавить самопроверку шифрования/дешифрования RSA
• Режим FIPS: добавлено жесткое ограничение для шифрования блоков 2^32 GCM с одним и тем же ключом.
• использовать длину ключа из файла конфигурации, если вызывается req -newkey rsa
• Вт, 07 января 2014 г. Томаш Мраз [email protected] 1.0.1e-20
• исправить CVE-2013-4353 — сбой при неверном рукопожатии TLS
• Пн, 06 января 2014 г. Томаш Мраз [email protected] 1.0.1e-19
• исправить CVE-2013-6450 — возможная атака MiTM на DTLS1
• Пт, 20 декабря 2013 г. Томаш Мраз [email protected] 1.0.1e-18
• исправить CVE-2013-6449 - сбой, когда версия в структуре SSL неверна
• Чт, 12 декабря 2013 г. Томаш Мраз [email protected] 1.0.1e-17
• добавить обратно некоторые нерабочие символы, которые были случайно удалены
• Чт, 31 октября 2013 г. Томаш Мраз [email protected] 1.0.1e-16
• не рекламировать кривые ECC, которые мы не поддерживаем
• исправить идентификацию процессора на процессорах Cyrix
• Пт, 27 сентября 2013 г. Томаш Мраз [email protected] 1.0.1e-15
• заставить DTLS1 работать в режиме FIPS
• избегайте RSA и DSA 512 бит и Whirlpool в «скорости openssl» в режиме FIPS
• Чт, 26 сентября 2013 г. Томаш Мраз [email protected] 1.0.1e-14
• установка dracut-fips отмечает, что модуль FIPS установлен
• Пн, 23 сентября 2013 г. Томаш Мраз [email protected] 1.0.1e-13
• избегайте дублирования libssl.so из libcrypto
• Пт, 20 сентября 2013 г. Томаш Мраз [email protected] 1.0.1e-12
• исправить небольшую утечку памяти в самотестировании FIPS aes
• исправить segfault в openssl speed hmac в режиме FIPS
• Чт, 12 сентября 2013 г. Томаш Мраз [email protected] 1.0.1e-11
• задокументируйте параметр nextprotoneg на страницах руководства
  оригинальный патч Хьюберта Карио
• Чт, 29 августа 2013 г. Томас Мраз [email protected] 1.0.1e-9
• всегда выполнять самотестирование FIPS в конструкторе библиотеки
  если модуль FIPS установлен
• Пт, 16 августа 2013 г. Томас Мраз [email protected] 1.0.1e-8
• исправить использование rdrand, если доступно
• больше коммитов, выбранных из апстрима
• исправления документации
• Пт, 26 июля 2013 г. Томас Мраз [email protected] 1.0.1e-7
• дополнительное исправление страницы руководства
• использовать управление версиями символов также для текстовой версии
• Чт, 25 июля 2013 г. Томас Мраз [email protected] 1.0.1e-6
• дополнительные исправления страницы руководства
• Вывод команды очистки скорости для ECDH ECDSA
• Пт, 19 июля 2013 г. Томас Мраз [email protected] 1.0.1e-5
• использовать макрос _prefix
• Ср, 10 июля 2013 г. Томас Мраз [email protected] 1.0.1e-4
• добавить флаг связывания relro
• Ср, 10 июля 2013 г. Томас Мраз [email protected] 1.0.1e-2
• добавить поддержку параметра -trusted_first для проверки цепочки сертификатов
• Пт, 31 мая 2013 г. Томас Мраз [email protected] 1.0.1e-1
• перебазировать на исходную версию 1.0.1e
• Пн, 25 февраля 2013 г. Томас Мраз [email protected] 1.0.0-28
• исправление для CVE-2013-0169 — атака по времени SSL/TLS CBC (#907589)
• исправление для CVE-2013-0166 — DoS при проверке подписей OCSP (#908052)
• включать сжатие, только если это явно запрошено или OPENSSL_DEFAULT_ZLIB
  установлена ​​переменная окружения (исправление CVE-2012-4929 #857051)
• везде используйте __secure_getenv() вместо getenv() (#839735)
• Пт, 12 октября 2012 г. Томас Мраз [email protected] 1.0.0-27
• исправить ссылку на sslrand(1) и sslpasswd(1) на справочной странице openssl(1) (#841645)
• удалить лишнее исправление lib64 в файлах pkgconfig .pc (# 770872)
• заставить BIO_accept_new(*:) для прослушивания по IPv4
• Ср, 15 августа 2012 г. Томас Мраз [email protected] 1.0.0-26
• используйте PKCS#8 при записи закрытых ключей в режиме FIPS как старый
  Режим шифрования PEM несовместим с FIPS (#812348)
• Вт, 15 мая 2012 г. Томас Мраз [email protected] 1.0.0-25
• исправление для CVE-2012-2333 — неправильная проверка длины записи в DTLS (#820686)
• правильно инициализировать tkeylen в исправлении CVE-2012-0884
• Чт, 19 апреля 2012 г. Томас Мраз [email protected] 1.0.0-24
• исправление для CVE-2012-2110 — повреждение памяти в asn1_d2i_read_bio() (#814185)
• Пн, 19 марта 2012 г. Томас Мраз [email protected] 1.0.0-23
• исправить проблему с патчем перезапуска SGC, который мог прервать рукопожатие
  неправильно
• исправление для CVE-2012-0884 — уязвимость MMA в коде CMS и PKCS#7 (#802725)
• исправление для CVE-2012-1165 — разыменование чтения NULL для неверных заголовков MIME (#802489)
• Чт, 01 марта 2012 г. Томас Мраз [email protected] 1.0.0-22
• исправить некорректное шифрование невыровненных чанков в режимах CFB, OFB и CTR
• Чт, 19 января 2012 г. Томас Мраз [email protected] 1.0.0-21
• исправление для CVE-2011-4108 и CVE-2012-0050 — восстановление открытого текста DTLS
  уязвимость и дополнительные исправления DTLS (#771770)
• исправление для CVE-2011-4576 — неинициализированное заполнение SSL 3.0 (# 771775)
• исправление для CVE-2011-4577 — возможный отказ в обслуживании из-за искаженных данных RFC 3779 (#771778)
• исправление для CVE-2011-4619 — DoS-атака перезапуска SGC (#771780)
• Пн, 31 октября 2011 г. Томас Мраз [email protected] 1.0.0-20
• исправить x86cpuid.pl - патч Паоло Бонзини
• Чт, 29 сентября 2011 г. Томас Мраз [email protected] 1.0.0-19
• добавить тест известного ответа для алгоритмов SHA2
• Ср, 21 сентября 2011 г. Томас Мраз [email protected] 1.0.0-18
• исправить отсутствующую инициализацию переменной в движке CHIL (#740188)
• Пн, 12 сентября 2011 г. Томас Мраз [email protected] 1.0.0-17
• правильно инициализировать X509_STORE_CTX для поиска CRL — CVE-2011-3207
  (# 736087)
• Ср, 24 августа 2011 г. Томас Мраз [email protected] 1.0.0-16
• объединить оптимизации для AES-NI, SHA1 и RC4 из Intelx
  движок к внутренним реализациям
• Пн, 15 августа 2011 г. Томас Мраз [email protected] 1.0.0-15
• улучшенная документация доступных дайджестов в приложениях (#693858)
• бэкпортированные исправления двигателя CHIL (# 693863)
• разрешить тестовую сборку без последующих исправлений (#708511)
• включить частичный RELRO при связывании (#723994)
• добавить движок Intelx с улучшенной производительностью на новых процессорах Intel
• добавить переменную среды OPENSSL_DISABLE_AES_NI, которая отключает
  поддержка AES-NI (не влияет на движок Intelx)
• Ср, 08 июня 2011 г. Томас Мраз [email protected] 1.0.0-14
• использовать движок AES-NI в режиме FIPS
• Вт, 24 мая 2011 г. Томас Мраз [email protected] 1.0.0-11
• добавить API, необходимый для тестирования CAVS нового поколения параметров DSA
• Чт, 10 февраля 2011 г. Томас Мраз [email protected] 1.0.0-10
• исправить уязвимость сшивания OCSP — CVE-2011-0014 (# 676063)
• исправить документ README.FIPS
• Пт, 04 февраля 2011 г. Томас Мраз [email protected] 1.0.0-8
• добавьте параметр -x931 в команду openssl genrsa, чтобы использовать ANSI X9.31
  метод генерации ключей
• использовать метод FIPS-186-3 для генерации параметров DSA
• добавить переменную среды OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW
  разрешить использование MD5, когда система находится в состоянии обслуживания
  даже если установлен флаг /proc fips
• заставить команду openssl pkcs12 работать по умолчанию в режиме FIPS
• Пн, 24 января 2011 г. Томас Мраз [email protected] 1.0.0-7
• слушайте подстановочный знак ipv6 в s_server, чтобы мы принимали соединения
  как с ipv4, так и с ipv6 (#601612)
• исправить команду скорости openssl, чтобы ее можно было использовать в режиме FIPS
  с разрешенными шифрами FIPS (# 619762)
• Вт, 07 декабря 2010 г. Томас Мраз [email protected] 1.0.0-6
• отключить код для SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG — CVE-2010-3864
  (# 649304)
• Пт, 05 ноября 2010 г. Томас Мраз [email protected] 1.0.0-5
• исправление гонки в коде синтаксического анализа расширений — CVE-2010-3864 (#649304)
• Ср, 30 июня 2010 г. Томас Мраз [email protected] 1.0.0-4
• Исправление справочной страницы openssl (#609484)
• Пт, 04 июня 2010 г. Томас Мраз [email protected] 1.0.0-3
• исправить неправильное определение OriginatorInfo в ASN.1 — CVE-2010-0742 (#598738)
• исправить утечку информации в rsa_verify_recover — CVE-2010-1633 (# 598732)
• Ср, 19 мая 2010 г. Томас Мраз [email protected] 1.0.0-2
• сделать каталог CA доступным для чтения - закрытые ключи находятся в частном подкаталоге (# 584810)
• несколько исправлений из апстрима CVS
• заставить X509_NAME_hash_old работать в режиме FIPS (#568395)
• Вт, 30 марта 2010 г. Томас Мраз [email protected] 1.0.0-1
• обновление до финальной версии 1.0.0 основной версии
• Вт, 16 февраля 2010 г. Томас Мраз [email protected] 1.0.0-0.22.beta5
• заставить TLS работать в режиме FIPS
• Пт, 12 февраля 2010 г. Томас Мраз [email protected] 1.0.0-0.21.beta5
• изящно обрабатывать нулевую длину в ассемблерных реализациях
  OPENSSL_cleanse (# 564029)
• не сбой в s_server, если имя хоста клиента не разрешается (# 561260)
• Ср, 20 января 2010 г. Томас Мраз [email protected] 1.0.0-0.20.beta5
• новый апстрим релиз
• Чт, 14 января 2010 г. Томас Мраз [email protected] 1.0.0-0.19.beta4
• исправить CVE-2009-4355 — утечка в приложениях, неправильно вызывающих
  CRYPTO_free_all_ex_data() перед выходом из приложения (#546707)
• восходящее исправление для обработки будущих версий протокола TLS
• Ср, 13 января 2010 г. Томас Мраз [email protected] 1.0.0-0.18.beta4
• добавить поддержку Intel AES-NI
• Чт, 07 января 2010 г. Томас Мраз [email protected] 1.0.0-0.17.beta4
• обработка исправления сжатия вышестоящего уровня при возобновлении сеанса
• различные проверки нулей и другие небольшие исправления из апстрима
• исходящие изменения для информации о повторном согласовании в соответствии с последним черновиком
• Пн, 23 ноября 2009 г. Томас Мраз [email protected] 1.0.0-0.16.beta4
• исправить сборку mingw без fips (исправление от Kalev Lember)
• добавить исправление IPV6 для DTLS
• Пт, 20 ноября 2009 г. Томас Мраз [email protected] 1.0.0-0.15.beta4
• добавить улучшенные отчеты об ошибках для небезопасного повторного согласования
• Пт, 20 ноября 2009 г. Томас Мраз [email protected] 1.0.0-0.14.beta4
• исправить сборку на s390x
• Ср, 18 ноября 2009 г. Томас Мраз [email protected] 1.0.0-0.13.beta4
• отключить принудительное применение расширения повторного согласования на клиенте (# 537962)
• добавить исправления из текущего моментального снимка основной ветки
• Пт, 13 ноября 2009 г. Томас Мраз [email protected] 1.0.0-0.12.beta4
• сохранить бета-статус в версии с номером 3, чтобы нам не пришлось перестраивать
  openssh и, возможно, другие зависимости со слишком строгой проверкой версии
• Чт, 12 ноября 2009 г. Томас Мраз [email protected] 1.0.0-0.11.beta4
• обновиться до новой версии основной ветки разработки, не требуется изменение сонейма
• исправление CVE-2009-3555 — обратите внимание, что исправление обходится, если используется SSL_OP_ALL
  поэтому совместимость с незафиксированными клиентами не нарушена. То
  расширение протокола также не является окончательным.
• Пт, 16 октября 2009 г. Томас Мраз [email protected] 1.0.0-0.10.beta3
• исправить использование освобожденной памяти, если SSL_CTX_free() вызывается раньше
  SSL_free() (#521342)
• Чт, 08 октября 2009 г. Томас Мраз [email protected] 1.0.0-0.9.beta3
• исправить опечатку в коде DTLS1 (#527015)
• исправить утечку в обработке ошибок d2i_SSL_SESSION()
• Ср, 30 сентября 2009 г. Томас Мраз [email protected] 1.0.0-0.8.beta3
• исправить самотестирование RSA и DSA FIPS
• повторно включить исправленный код ассемблера x86_64 Camellia (#521127)
• Пт, 04 сентября 2009 г. Томас Мраз [email protected] 1.0.0-0.7.beta3
• временно отключить ассемблерный код x86_64 Camellia (#521127)
• Пн, 31 августа 2009 г. Томас Мраз [email protected] 1.0.0-0.6.beta3
• исправить openssl dgst -dss1 (# 520152)
• Ср, 26 августа 2009 г. Томас Мраз [email protected] 1.0.0-0.5.beta3
• сбросьте хаки с символическими ссылками совместимости
• Сб, 22 августа 2009 г. Томас Мраз [email protected] 1.0.0-0.4.beta3
• утвердить SSL_CIPHER_description()
• Пт, 21 августа 2009 г. Томас Мраз [email protected] 1.0.0-0.3.beta3
• исправить WWW:Curl : простая ссылка в tsget
• Пт, 21 августа 2009 г. Томас Мраз [email protected] 1.0.0-0.2.beta3
• включить МД-2
• Чт, 20 августа 2009 г. Томас Мраз [email protected] 1.0.0-0.1.beta3
• обновление до нового крупного апстрим-релиза
• Сб, 25 июля 2009 г. Разработка выпуска Fedora [email protected] — 0.9.8k-7
• Перестроен для https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild
• Ср, 22 июля 2009 г. Билл Ноттингем [email protected]
• не создавайте специальные "оптимизированные" версии для i686, так как это основа
  арка в Fedora сейчас
• Вт, 30 июня 2009 г. Томас Мраз [email protected] 0.9.8k-6
• прервать, если самопроверка не удалась и генератор случайных чисел опрошен
• упоминать подпрограммы EVP_aes и EVP_sha2xx на справочных страницах
• добавить README.FIPS
• сделать абсолютный путь к каталогу ЦС (# 445344)
• изменить длину по умолчанию для генерации ключа RSA на 2048 (# 484101)
• Чт, 21 мая 2009 г. Томас Мраз [email protected] 0.9.8k-5
• исправить CVE-2009-1377 CVE-2009-1378 CVE-2009-1379
  (проблемы DTLS DoS) (#501253, #501254, #501572)
• Вт, 21 апреля 2009 г. Томас Мраз [email protected] 0.9.8k-4
• поддержка режима совместимости DTLS для CISCO AnyConnect (#464629)
• Пт 17 апр 2009 Томас Мраз [email protected] 0.9.8k-3
• исправьте определение SHLIB_VERSION
• Ср, 15 апреля 2009 г. Томас Мраз [email protected] 0.9.8k-2
• добавить поддержку нескольких CRL с одной и той же темой
• загружать только динамическую поддержку движка в режиме FIPS
• Ср, 25 марта 2009 г. Томас Мраз [email protected] 0.9.8k-1
• обновление до новой основной версии (незначительные исправления ошибок, безопасность
  только исправления и оптимизация машинного кода)
• Чт, 19 марта 2009 г. Томас Мраз [email protected] 0.9.8j-10
• переместить библиотеки в /usr/lib (#239375)
• Пт, 13 марта 2009 г. Томас Мраз [email protected] 0.9.8j-9
• добавить статический подпакет
• Чт, 26 февраля 2009 г. Разработка выпуска Fedora [email protected] — 0.9.8j-8
• Перестроен для https://fedoraproject.org/wiki/Fedora_11_Mass_Rebuild
• Пн, 02 февраля 2009 г. Томас Мраз [email protected] 0.9.8j-7
• также необходимо проверить контрольную сумму libssl.so в режиме FIPS
• получить начальное число для FIPS rng непосредственно с устройства ядра
• удалить временные символические ссылки
• Пн, 26 января 2009 г. Томас Мраз [email protected] 0.9.8j-6
• удалить временный триггерпостун и символическую ссылку в сообщении
• исправить файлы pkgconfig и удалить ненужные buildrequires
  в pkgconfig, так как это зависимость от rpmbuild (#481419)
• Сб, 17 января 2009 г. Томас Мраз [email protected] 0.9.8j-5
• добавить временный триггерпостун для восстановления символических ссылок
• Сб, 17 января 2009 г. Томас Мраз [email protected] 0.9.8j-4
• нет парных тестов ключей в режиме без fips (#479817)
• Пт, 16 января 2009 г. Томас Мраз [email protected] 0.9.8j-3
• еще более надежный тест для временных символических ссылок
• Пт, 16 января 2009 г. Томас Мраз [email protected] 0.9.8j-2
• попытайтесь убедиться, что временные символические ссылки существуют
• Чт, 15 января 2009 г. Томас Мраз [email protected] 0.9.8j-1
• новая апстрим-версия с необходимым расширением имени сонейма (#455753)
• временно предоставить символическую ссылку на старый soname, чтобы можно было восстановить
  зависимые пакеты в сыромятной коже
• добавить поддержку eap-fast (#428181)
• добавить возможность отключить zlib, установив
• добавить поддержку режима fips для целей тестирования
• не обнулять разыменование некоторых недопустимых smime-файлов
• добавить buildrequires pkgconfig (# 479493)
• Вс, 10 августа 2008 г. Томас Мраз [email protected] 0.9.8g-11
• также не добавляйте расширения tls в приветствие сервера для SSLv3
• Пн, 02 июня 2008 г. Джо Ортон [email protected] 0.9.8g-10
• переместить пакет корневого CA в пакет ca-certificates
• Ср, 28 мая 2008 г. Томас Мраз [email protected] 0.9.8g-9
• исправить CVE-2008-0891 — сбой расширения имени сервера (# 448492)
• исправить CVE-2008-1672 — сообщение об обмене ключами сервера пропускает сбой (# 448495)
• Вт, 27 мая 2008 г. Томас Мраз [email protected] 0.9.8g-8
• поддержка свода стопы super-H
• отбросить обходной путь для ошибки 199604, так как он должен быть исправлен в gcc-4.3
• Пн, 19 мая 2008 г. Том «spot» Каллауэй [email protected] 0.9.8g-7
• спарковая обработка
• Пн, 10 марта 2008 г. Джо Ортон [email protected] 0.9.8g-6
• обновление до нового пакета корневого ЦС с сайта mozilla.org (r1.45)
• Ср, 20 февраля 2008 г. Разработка выпуска Fedora [email protected] — 0.9.8g-5
• Автосборка для GCC 4.3
• Чт, 24 января 2008 г. Томас Мраз [email protected] 0.9.8g-4
• исправления обзора слияния (# 226220)
• настроить SHLIB_VERSION_NUMBER, чтобы отразить имя библиотеки (# 429846)
• Чт, 13 декабря 2007 г. Томас Мраз [email protected] 0.9.8g-3
• установить пути по умолчанию, если не заданы явные пути (# 418771)
• не добавляйте расширения tls в приветствие клиента для SSLv3 (# 422081)
• Вт, 04 декабря 2007 г. Томас Мраз [email protected] 0.9.8g-2
• включить некоторые новые криптоалгоритмы и функции
• добавить еще несколько важных исправлений ошибок из openssl CVS
• Пн, 03 декабря 2007 г. Томас Мраз [email protected] 0.9.8g-1
• обновление до последней основной версии, SONAME увеличилось до 7
• Пн, 15 октября 2007 г. Джо Ортон [email protected] 0.9.8b-17
• обновление до нового пакета CA от mozilla.org
• Пт, 12 октября 2007 г. Томас Мраз [email protected] 0.9.8b-16
• исправить CVE-2007-5135 — по одному в SSL_get_shared_ciphers (#309801)
• исправление CVE-2007-4995 — переполнение буфера неправильных фрагментов DTLS (#321191)
• добавить альфа-субарки (#296031)
• Вт, 21 августа 2007 г. Томас Мраз [email protected] 0.9.8b-15
• восстановить
• Пт, 03 августа 2007 г. Томас Мраз [email protected] 0.9.8b-14
• используйте локальный хост в тестовом наборе, надеюсь, исправит медленную сборку в кодзи
• CVE-2007-3108 — исправление атаки по побочному каналу на закрытые ключи (# 250577)
• сделать соответствие идентификатора кэша сеанса ssl строгим (# 233599)
• Ср, 25 июля 2007 г. Томас Мраз [email protected] 0.9.8b-13
• разрешить сборку на архитектурах ARM (# 245417)
• использовать эталонные временные метки для предотвращения конфликтов мультибиблиотек (# 218064)
• Для пакета -devel требуется pkgconfig (#241031)
• Пн, 11 декабря 2006 г. Томас Мраз [email protected] 0.9.8b-12
• правильно обнаруживать дубликаты в add_dir (# 206346)
• Чт, 30 ноября 2006 г. Томас Мраз [email protected] 0.9.8b-11
• предыдущее изменение по-прежнему не делало X509_NAME_cmp транзитивным
• Чт, 23 ноября 2006 г. Томас Мраз [email protected] 0.9.8b-10
• сделать X509_NAME_cmp транзитивным, иначе поиск сертификата
  сломан (# 216050)
• Чт, 02 ноября 2006 г. Томас Мраз [email protected] 0.9.8b-9
• ошибка псевдонимов при загрузке движка, исправление от IBM (# 213216)
• Пн, 02 октября 2006 г. Томас Мраз [email protected] 0.9.8b-8
• Исправление CVE-2006-2940 было неправильным (# 208744).
• Пн, 25 сентября 2006 г. Томас Мраз [email protected] 0.9.8b-7
• исправить CVE-2006-2937 — ошибочная ошибка при синтаксическом анализе ASN.1 (# 207276)
• исправление CVE-2006-2940 - паразитные открытые ключи DoS (# 207274)
• исправить CVE-2006-3738 — переполнение буфера в SSL_get_shared_ciphers (#206940)
• исправление CVE-2006-4343 - DoS клиента sslv2 (# 206940)
• Вт, 05 сентября 2006 г. Томас Мраз [email protected] 0.9.8b-6
• исправить CVE-2006-4339 — предотвратить атаку на сигнатуры PKCS#1 v1.5 (#205180)
• Ср, 02 августа 2006 г. Томас Мраз [email protected] - 0.9.8b-5
• установить значение none для буферизации в stdio/stdout FILE, когда установлен bufsize (#200580)
  патч от IBM
• Пт, 28 июля 2006 г. Александр Олива [email protected] - 0.9.8b-4.1
• пересоберите с новыми binutils (# 200330)
• Пт, 21 июля 2006 г. Томас Мраз [email protected] - 0.9.8b-4
• добавить временный обходной путь для сбоя теста sha512 на s390 (# 199604)
• Чт, 20 июля 2006 г. Томас Мраз [email protected]
• добавить поддержку ipv6 в s_client и s_server (от Jan Pazdziora) (#198737)
• добавить исправления для безопасности потоков BN, исправить опасность атаки столкновений кеша AES и
  Исправление утечки памяти в коде pkcs7 из исходной CVS
• Ср, 12 июля 2006 г. Джесси Китинг [email protected] - 0.9.8b-3.1
• восстановить
• Ср, 21 июня 2006 г. Томас Мраз [email protected] - 0.9.8b-3
• движок libica и ica удален из сборки
• Ср, 21 июня 2006 г. Джо Ортон [email protected]
• обновление до нового пакета CA с сайта mozilla.org; добавляет сертификаты ЦС
  с netlock.hu и startcom.org
• Пн, 05 июня 2006 г. Томас Мраз [email protected] - 0.9.8b-2
• исправлено несколько предупреждений rpmlint
• лучшее исправление для # 173399 из восходящего потока
• исправление основной ветки для pkcs12
• Чт, 11 мая 2006 г. Томас Мраз [email protected] - 0.9.8b-1
• обновление до новой версии, остается совместимым с ABI
• linux/config.h больше нет (он и так был пуст)
• Вт, 04 апреля 2006 г. Томас Мраз [email protected] - 0.9.8a-6
• исправить устаревшие дескрипторы открытия в libica (#177155)
• исправить сборку, если «rand» или «passwd» в пути buildroot (# 178782)
• инициализировать движок VIA Padlock (#186857)
• Пт, 10 февраля 2006 г. Джесси Китинг [email protected] - 0.9.8a-5.2
• снова натолкнуться на двойную длинную ошибку на плате за клик (64)
• Вт, 07 февраля 2006 г. Джесси Китинг [email protected] - 0.9.8a-5.1
• перестроен для нового снапшота gcc4.1 и изменений glibc
• Чт, 15 декабря 2005 г. Томас Мраз [email protected] 0.9.8a-5
• не включать SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
  в SSL_OP_ALL (#175779)
• Пт, 09 декабря 2005 г. Джесси Китинг [email protected]
• перестроен
• Вт, 29 ноября 2005 г. Томас Мраз [email protected] 0.9.8a-4
• исправить сборку (-lcrypto был ошибочно удален) обновленной libica
• обновлен движок ICA до 1.3.6-rc3
• Вт, 22 ноября 2005 г. Томас Мраз [email protected] 0.9.8a-3
• отключите встроенные методы сжатия на данный момент, пока они не заработают
  правильно (#173399)
• Ср, 16 ноября 2005 г. Томас Мраз [email protected] 0.9.8a-2
• не устанавливайте -rpath для двоичного файла openssl
• Вт, 08 ноября 2005 г. Томас Мраз [email protected] 0.9.8a-1
• новая восходящая версия
• патчи частично перенумерованы
• Пт, 21 октября 2005 г. Томас Мраз [email protected] 0.9.7f-11
• обновлена ​​библиотека движка IBM ICA и исправление до последней исходной версии
• Ср, 12 октября 2005 г. Томас Мраз [email protected] 0.9.7f-10
• исправить CAN-2005-2969 - удалить SSL_OP_MSIE_SSLV2_RSA_PADDING, который
  отключает контрмеру против атаки «человек посередине» в SSLv2
  (#169863)
• использовать sha1 по умолчанию для запросов ЦС и сертификатов — CAN-2005-2946 (#169803)
• Вт, 23 августа 2005 г. Томас Мраз [email protected] 0.9.7f-9
• добавить *.so.soversion в качестве символических ссылок в /lib (#165264)
• удалить неупакованные символические ссылки (#159595)
• исправления из апстрима (постоянные исправления для DSA,
  bn assembler div на ppc arch, инициализировать память на realloc)
• Чт, 11 августа 2005 г. Фил Книрш [email protected] 0.9.7f-8
• Обновлен патч IBM ICA Engine до последней исходной версии.
• Чт, 19 мая 2005 г. Томас Мраз [email protected] 0.9.7f-7
• исправить CAN-2005-0109 - использовать постоянное время/доступ к памяти mod_exp
  поэтому биты закрытого ключа не утекают при вытеснении кеша (# 157631)
• еще несколько исправлений из апстрима 0.9.7g
• Ср, 27 апреля 2005 г. Томас Мраз [email protected] 0.9.7f-6
• использовать опрос вместо выбора в рандоме (# 128285)
• исправить Makefile.certificate так, чтобы он указывал на /etc/pki/tls
• изменить маску строки по умолчанию в ASN1 на PrintableString+UTF8String
• Пн, 25 апреля 2005 г. Джо Ортон [email protected] 0.9.7f-5
• обновление до версии 1.37 пакета Mozilla CA
• Чт, 21 апреля 2005 г. Томас Мраз [email protected] 0.9.7f-4
• переместить сертификаты в _sysconfdir/pki/tls (#143392)
• переместите каталоги CA в _sysconfdir/pki/CA
• исправьте сценарий CA и конфигурацию по умолчанию, чтобы он указывал на
  Каталоги ЦС
• Пт 01 апр 2005 Томас Мраз [email protected] 0.9.7f-3
• неинициализированная переменная не должна использоваться в качестве входных данных во встроенном
  сборка
• снова включите сборку x86_64
• Чт, 31 марта 2005 г. Томас Мраз [email protected] 0.9.7f-2
• добавьте обратно RC4_CHAR на ia64 и x86_64, чтобы ABI не сломался
• отключить сломанную сборку bignum на x86_64
• Ср, 30 марта 2005 г. Томас Мраз [email protected] 0.9.7f-1
• повторно включить оптимизацию на ppc64 и ассемблерный код на ia64
• обновиться до новой версии основной ветки разработки (не требуется изменение имени пользователя)
• отключить проверку потока - он тестировал бэкпорт
  Ослепление RSA - больше не нужно
• добавлена ​​поддержка смены серийного номера на
  Makefile.certificate (#151188)
• сделать ca-bundle.crt конфигурационным файлом (#118903)
• Вт, 01 марта 2005 г. Томас Мраз [email protected] 0.9.7e-3
• libcrypto не должен зависеть от libkrb5 (#135961)
• Пн, 28 февраля 2005 г. Томас Мраз [email protected] 0.9.7e-2
• восстановить
• Пн, 28 февраля 2005 г. Томас Мраз [email protected] 0.9.7e-1
• новый исходный код, обновленные патчи
• добавлен патч, так что мы надеемся, что ABI совместим с предстоящими
  0.9.7f
• Чт, 10 февраля 2005 г. Томас Мраз [email protected]
• Поддержка кодировки UTF-8 в Makefile.certificate (#134944)
• Добавлен cmp в BuildPrereq
• Чт, 27 января 2005 г. Джо Ортон [email protected] 0.9.7a-46
• сгенерировать новый ca-bundle.crt из Mozilla certdata.txt (версия 1.32)
• Чт, 23 декабря 2004 г. Фил Книрш [email protected] 0.9.7a-45
• Исправлен и обновлен патч libica-1.3.4-urandom.patch (#122967).
• Пт, 19 ноября 2004 г. Налин Дахьябхай [email protected] 0.9.7a-44
• восстановить
• Пт, 19 ноября 2004 г. Налин Дахьябхай [email protected] 0.9.7a-43
• восстановить
• Пт, 19 ноября 2004 г. Налин Дахьябхай [email protected] 0.9.7a-42
• восстановить
• Пт, 19 ноября 2004 г. Налин Дахьябхай [email protected] 0.9.7a-41
• удалить der_chop, как это сделал вышестоящий cvs (CAN-2004-0975, #140040)
• Вт, 5 октября 2004 г. Фил Книрш [email protected] 0.9.7a-40
• Включить последнюю версию libica с важными исправлениями
• Вт, 15 июня 2004 г. Эллиот Ли [email protected]
• перестроен
• Пн, 14 июня 2004 г. Фил Книрш [email protected] 0.9.7a-38
• Обновлен патч IBM ICA Engine до последней исходной версии.
• Пн, 07 июня 2004 г. Налин Дахьябхай [email protected] 0.9.7a-37
• сборка для linux-alpha-gcc вместо alpha-gcc на alpha (Джефф Гарзик)
• Вт, 25 мая 2004 г. Налин Дахьябхай [email protected] 0.9.7a-36
• обрабатывать %{_arch}=i486/i586/i686/athlon случаев в промежуточном
  заголовок (#124303)
• Чт, 25 марта 2004 г. Джо Ортон [email protected] 0.9.7a-35
• добавить исправления безопасности для CAN-2004-0079, CAN-2004-0112
• Вт, 16 марта 2004 г. Фил Книрш [email protected]
• Исправлена ​​спецификация файлов libica.
• Чт, 11 марта 2004 г. Налин Дахьябхай [email protected] 0.9.7a-34
• ppc/ppc64 определить powerpc / powerpc64 , а не ppc / ppc64 , исправить
  промежуточный заголовок
• Ср, 10 марта 2004 г. Налин Дахьябхай [email protected] 0.9.7a-33
• добавить промежуточныйкоторый указывает вправо
  специфический для арки opensslconf.h на арках с несколькими библиотеками
• Вт, 02 марта 2004 г. Эллиот Ли [email protected]
• перестроен
• Чт, 26 февраля 2004 г. Фил Книрш [email protected] 0.9.7a-32
• Обновлена ​​libica до последней версии основной ветки разработки 1.3.5.
• Вт, 17 февраля 2004 г. Фил Книрш [email protected] 0.9.7a-31
• Обновите исправление криптодвижка ICA от IBM до последней версии.
• Пт, 13 февраля 2004 г. Эллиот Ли [email protected]
• перестроен
• Пт, 13 февраля 2004 г. Фил Книрш [email protected] 0.9.7a-29
• перестроен
• Ср, 11 февраля 2004 г. Фил Книрш [email protected] 0.9.7a-28
• Исправлена ​​сборка libica.
• Ср, 04 февраля 2004 г. Налин Дахьябхай [email protected]
• добавить «-ldl» к флагам ссылок, добавленным для Linux-on-ARM (#99313)
• Ср, 04 февраля 2004 г. Джо Ортон [email protected] 0.9.7a-27
• обновлен ca-bundle.crt: удалены просроченные корни GeoTrust, добавлены
  Корень freessl.com, удален корень trustcenter.de класса 0
• Воскресенье, 30 ноября 2003 г. Тим Во [email protected] 0.9.7a-26
• Исправлена ​​строка ссылки для libssl (ошибка № 111154).
• Пт, 24 октября 2003 г. Налин Дахьябхай [email protected] 0.9.7a-25
• добавить зависимость от zlib-devel для пакета -devel, который зависит от zlib
  символы, потому что мы включили zlib для libssl (#102962)
• Пт, 24 октября 2003 г. Фил Книрш [email protected] 0.9.7a-24
• Используйте /dev/urandom вместо PRNG для libica.
• Применить исправление libica-1.3.5 для /dev/urandom в icalinux.c
• Используйте последний патч ядра ICA от IBM.
• Сб, 04 октября 2003 г. Налин Дахьябхай [email protected] 0.9.7a-22.1
• восстановить
• Ср, 01 октября 2003 г. Налин Дахьябхай [email protected] 0.9.7a-22
• восстановить (22 на самом деле не было построено, весело, а?)
• Вт, 30 сентября 2003 г. Налин Дахьябхай [email protected] 0.9.7a-23
• переотключить оптимизацию на ppc64
• Вт, 30 сентября 2003 г. Джо Ортон [email protected]
• добавить исправление a_mbstr.c для 64-битных платформ из CVS
• Вт, 30 сентября 2003 г. Налин Дахьябхай [email protected] 0.9.7a-22
• добавьте -Wa,--noexecstack в RPM_OPT_FLAGS, чтобы собранные модули были помечены
  как не нуждающийся в исполняемых стеках
• Пн, 29 сентября 2003 г. Налин Дахьябхай [email protected] 0.9.7a-21
• восстановить
• Чт, 25 сентября 2003 г. Налин Дахьябхай [email protected]
• повторно включить оптимизацию на ppc64
• Thu Sep 25 2003 Nalin Dahyabhai [email protected]
• remove exclusivearch
• Wed Sep 24 2003 Nalin Dahyabhai [email protected] 0.9.7a-20
• only parse a client cert if one was requested
• temporarily exclusivearch for %{ix86}
• Tue Sep 23 2003 Nalin Dahyabhai [email protected]
• add security fixes for protocol parsing bugs (CAN-2003-0543, CAN-2003-0544)
  and heap corruption (CAN-2003-0545)
• update RHNS-CA-CERT files
• ease back on the number of threads used in the threading test
• Wed Sep 17 2003 Matt Wilson [email protected] 0.9.7a-19
• rebuild to fix gzipped file md5sums (#91211)
• Mon Aug 25 2003 Phil Knirsch [email protected] 0.9.7a-18
• Updated libica to version 1.3.4.
• Thu Jul 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-17
• rebuild
• Tue Jul 15 2003 Nalin Dahyabhai [email protected] 0.9.7a-10.9
• free the kssl_ctx structure when we free an SSL structure (#99066)
• Fri Jul 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-16
• rebuild
• Thu Jul 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-15
• lower thread test count on s390x
• Tue Jul 08 2003 Nalin Dahyabhai [email protected] 0.9.7a-14
• rebuild
• Thu Jun 26 2003 Nalin Dahyabhai [email protected] 0.9.7a-13
• disable assembly on arches where it seems to conflict with threading
• Thu Jun 26 2003 Phil Knirsch [email protected] 0.9.7a-12
• Updated libica to latest upstream version 1.3.0
• Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-9.9
• rebuild
• Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-11
• rebuild
• Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-10
• ubsec: don't stomp on output data which might also be input data
• Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-9
• temporarily disable optimizations on ppc64
• Mon Jun 09 2003 Nalin Dahyabhai [email protected]
• backport fix for engine-used-for-everything from 0.9.7b
• backport fix for prng not being seeded causing problems, also from 0.9.7b
• add a check at build-time to ensure that RSA is thread-safe
• keep perlpath from stomping on the libica configure scripts
• Fri Jun 06 2003 Nalin Dahyabhai [email protected]
• thread-safety fix for RSA blinding
• Wed Jun 04 2003 Elliot Lee [email protected] 0.9.7a-8
• перестроен
• Fri May 30 2003 Phil Knirsch [email protected] 0.9.7a-7
• Added libica-1.2 to openssl (featurerequest).
• Wed Apr 16 2003 Nalin Dahyabhai [email protected] 0.9.7a-6
• fix building with incorrect flags on ppc64
• Wed Mar 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-5
• add patch to harden against Klima-Pokorny-Rosa extension of Bleichenbacher's
  attack (CAN-2003-0131)
• Mon Mar 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-4
• add patch to enable RSA blinding by default, closing a timing attack
  (CAN-2003-0147)
• Wed Mar 05 2003 Nalin Dahyabhai [email protected] 0.9.7a-3
• disable use of BN assembly module on x86_64, but continue to allow inline
  assembly (#83403)
• Thu Feb 27 2003 Nalin Dahyabhai [email protected] 0.9.7a-2
• disable EC algorithms
• Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-1
• update to 0.9.7a
• Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7-8
• add fix to guard against attempts to allocate negative amounts of memory
• add patch for CAN-2003-0078, fixing a timing attack
• Thu Feb 13 2003 Elliot Lee [email protected] 0.9.7-7
• Add openssl-ppc64.patch
• Mon Feb 10 2003 Nalin Dahyabhai [email protected] 0.9.7-6
• EVP_DecryptInit should call EVP_CipherInit() instead of EVP_CipherInit_ex(),
  to get the right behavior when passed uninitialized context structures
  (#83766)
• build with -mcpu=ev5 on alpha family (#83828)
• Wed Jan 22 2003 Tim Powers [email protected]
• перестроен
• Fri Jan 17 2003 Phil Knirsch [email protected] 0.9.7-4
• Added IBM hw crypto support patch.
• Wed Jan 15 2003 Nalin Dahyabhai [email protected]
• add missing builddep on sed
• Thu Jan 09 2003 Bill Nottingham [email protected] 0.9.7-3
• debloat
• fix broken manpage symlinks
• Wed Jan 08 2003 Nalin Dahyabhai [email protected] 0.9.7-2
• fix double-free in 'openssl ca'
• Fri Jan 03 2003 Nalin Dahyabhai [email protected] 0.9.7-1
• update to 0.9.7 final
• Tue Dec 17 2002 Nalin Dahyabhai [email protected] 0.9.7-0
• update to 0.9.7 beta6 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
• Wed Dec 11 2002 Nalin Dahyabhai [email protected]
• update to 0.9.7 beta5 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
• Tue Oct 22 2002 Nalin Dahyabhai [email protected] 0.9.6b-30
• add configuration stanza for x86_64 and use it on x86_64
• build for linux-ppc on ppc
• start running the self-tests again
• Wed Oct 02 2002 Elliot Lee [email protected] 0.9.6b-29hammer.3
• Merge fixes from previous hammer packages, including general x86-64 and
  multilib
• Tue Aug 06 2002 Nalin Dahyabhai [email protected] 0.9.6b-29
• rebuild
• Thu Aug 01 2002 Nalin Dahyabhai [email protected] 0.9.6b-28
• update asn patch to fix accidental reversal of a logic check
• Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-27
• update asn patch to reduce chance that compiler optimization will remove
  one of the added tests
• Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-26
• rebuild
• Mon Jul 29 2002 Nalin Dahyabhai [email protected] 0.9.6b-25
• add patch to fix ASN.1 vulnerabilities
• Thu Jul 25 2002 Nalin Dahyabhai [email protected] 0.9.6b-24
• add backport of Ben Laurie's patches for OpenSSL 0.9.6d
• Wed Jul 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-23
• own {_datadir}/ssl/misc
• Fri Jun 21 2002 Tim Powers [email protected]
• automated rebuild
• Sun May 26 2002 Tim Powers [email protected]
• automated rebuild
• Fri May 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-20
• free ride through the build system (whee!)
• Thu May 16 2002 Nalin Dahyabhai [email protected] 0.9.6b-19
• rebuild in new environment
• Thu Apr 04 2002 Nalin Dahyabhai [email protected] 0.9.6b-17, 0.9.6b-18
• merge RHL-specific bits into stronghold package, rename
• Tue Apr 02 2002 Gary Benson [email protected] stronghold-0.9.6c-2
• add support for Chrysalis Luna token
• Tue Mar 26 2002 Gary Benson [email protected]
• disable AEP random number generation, other AEP fixes
• Fri Mar 15 2002 Nalin Dahyabhai [email protected] 0.9.6b-15
• only build subpackages on primary arches
• Thu Mar 14 2002 Nalin Dahyabhai [email protected] 0.9.6b-13
• on ia32, only disable use of assembler on i386
• enable assembly on ia64
• Mon Jan 07 2002 Florian La Roche Florian. [email protected] 0.9.6b-11
• fix sparcv9 entry
• Mon Jan 07 2002 Gary Benson [email protected] stronghold-0.9.6c-1
• upgrade to 0.9.6c
• bump BuildArch to i686 and enable assembler on all platforms
• synchronise with shrimpy and rawhide
• bump soversion to 3
• Wed Oct 10 2001 Florian La Roche Florian. [email protected]
• delete BN_LLONG for s390x, patch from Oliver Paukstadt
• Mon Sep 17 2001 Nalin Dahyabhai [email protected] 0.9.6b-9
• update AEP driver patch
• Mon Sep 10 2001 Nalin Dahyabhai [email protected]
• adjust RNG disabling patch to match version of patch from Broadcom
• Fri Sep 07 2001 Nalin Dahyabhai [email protected] 0.9.6b-8
• disable the RNG in the ubsec engine driver
• Tue Aug 28 2001 Nalin Dahyabhai [email protected] 0.9.6b-7
• tweaks to the ubsec engine driver
• Fri Aug 24 2001 Nalin Dahyabhai [email protected] 0.9.6b-6
• tweaks to the ubsec engine driver
• Thu Aug 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-5
• update ubsec engine driver from Broadcom
• Fri Aug 10 2001 Nalin Dahyabhai [email protected] 0.9.6b-4
• move man pages back to %{_mandir}/man?/foo.?ssl from
  %{_mandir}/man?ssl/foo.?
• add an [ engine ] section to the default configuration file
• Thu Aug 09 2001 Nalin Dahyabhai [email protected]
• add a patch for selecting a default engine in SSL_library_init()
• Mon Jul 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-3
• add patches for AEP hardware support
• add patch to keep trying when we fail to load a cert from a file and
  there are more in the file
• add missing prototype for ENGINE_ubsec() in engine_int.h
• Wed Jul 18 2001 Nalin Dahyabhai [email protected] 0.9.6b-2
• actually add hw_ubsec to the engine list
• Tue Jul 17 2001 Nalin Dahyabhai [email protected]
• add in the hw_ubsec driver from CVS
• Wed Jul 11 2001 Nalin Dahyabhai [email protected] 0.9.6b-1
• update to 0.9.6b
• Thu Jul 05 2001 Nalin Dahyabhai [email protected]
• move .so symlinks back to %{_libdir}
• Tue Jul 03 2001 Nalin Dahyabhai [email protected]
• move shared libraries to /lib (#38410)
• Mon Jun 25 2001 Nalin Dahyabhai [email protected]
• switch to engine code base
• Mon Jun 18 2001 Nalin Dahyabhai [email protected]
• add a script for creating dummy certificates
• move man pages from %{_mandir}/man?/foo.?ssl to %{_mandir}/man?ssl/foo.?
• Thu Jun 07 2001 Florian La Roche Florian. [email protected]
• add s390x support
• Fri Jun 01 2001 Nalin Dahyabhai [email protected]
• change two memcpy() calls to memmove()
• don't define L_ENDIAN on alpha
• Wed May 23 2001 Joe Orton [email protected] stronghold-0.9.6a-1
• Add 'stronghold-' prefix to package names.
• Obsolete standard openssl packages.
• Wed May 16 2001 Joe Orton [email protected]
• Add BuildArch: i586 as per Nalin's advice.
• Tue May 15 2001 Joe Orton [email protected]
• Enable assembler on ix86 (using new .tar.bz2 which does
  include the asm directories).
• Tue May 15 2001 Nalin Dahyabhai [email protected]
• make subpackages depend on the main package
• Tue May 01 2001 Nalin Dahyabhai [email protected]
• adjust the hobble script to not disturb symlinks in include/ (fix from
  Joe Orton)
• Fri Apr 27 2001 Nalin Dahyabhai [email protected]
• drop the m2crypo patch we weren't using
• Tue Apr 24 2001 Nalin Dahyabhai [email protected]
• configure using "shared" as well
• Sun Apr 08 2001 Nalin Dahyabhai [email protected]
• update to 0.9.6a
• use the build-shared target to build shared libraries
• bump the soversion to 2 because we're no longer compatible with
  our 0.9.5a packages or our 0.9.6 packages
• drop the patch for making rsatest a no-op when rsa null support is used
• put all man pages into
  ssl instead of
• break the m2crypto modules into a separate package
• Tue Mar 13 2001 Nalin Dahyabhai [email protected]
• use BN_LLONG on s390
• Mon Mar 12 2001 Nalin Dahyabhai [email protected]
• fix the s390 changes for 0.9.6 (isn't supposed to be marked as 64-bit)
• Sat Mar 03 2001 Nalin Dahyabhai [email protected]
• move c_rehash to the perl subpackage, because it's a perl script now
• Fri Mar 02 2001 Nalin Dahyabhai [email protected]
• update to 0.9.6
• enable MD2
• use the libcrypto.so and libssl.so targets to build shared libs with
• bump the soversion to 1 because we're no longer compatible with any of
  the various 0.9.5a packages circulating around, which provide lib*.so.0
• Wed Feb 28 2001 Florian La Roche Florian. [email protected]
• change hobble-openssl for disabling MD2 again
• Tue Feb 27 2001 Nalin Dahyabhai [email protected]
• re-disable MD2 -- the EVP_MD_CTX structure would grow from 100 to 152
  bytes or so, causing EVP_DigestInit() to zero out stack variables in
  apps built against a version of the library without it
• Mon Feb 26 2001 Nalin Dahyabhai [email protected]
• disable some inline assembly, which on x86 is Pentium-specific
• re-enable MD2 (see http://www.ietf.org/ietf/IPR/RSA-MD-all)
• Thu Feb 08 2001 Florian La Roche Florian. [email protected]
• fix s390 patch
• Fri Dec 08 2000 Than Ngo [email protected]
• added support s390
• Mon Nov 20 2000 Nalin Dahyabhai [email protected]
• remove -Wa,* and -m* compiler flags from the default Configure file (#20656)
• add the CA.pl man page to the perl subpackage
• Thu Nov 02 2000 Nalin Dahyabhai [email protected]
• always build with -mcpu=ev5 on alpha
• Tue Oct 31 2000 Nalin Dahyabhai [email protected]
• add a symlink from cert.pem to ca-bundle.crt
• Wed Oct 25 2000 Nalin Dahyabhai [email protected]
• add a ca-bundle file for packages like Samba to reference for CA certificates
• Tue Oct 24 2000 Nalin Dahyabhai [email protected]
• remove libcrypto's crypt(), which doesn't handle md5crypt (#19295)
• Mon Oct 02 2000 Nalin Dahyabhai [email protected]
• add unzip as a buildprereq (#17662)
• update m2crypto to 0.05-snap4
• Tue Sep 26 2000 Bill Nottingham [email protected]
• fix some issues in building when it's not installed
• Wed Sep 06 2000 Nalin Dahyabhai [email protected]
• make sure the headers we include are the ones we built with (aaaaarrgh!)
• Fri Sep 01 2000 Nalin Dahyabhai [email protected]
• add Richard Henderson's patch for BN on ia64
• clean up the changelog
• Tue Aug 29 2000 Nalin Dahyabhai [email protected]
• fix the building of python modules without openssl-devel already installed
• Wed Aug 23 2000 Nalin Dahyabhai [email protected]
• byte-compile python extensions without the build-root
• adjust the makefile to not remove temporary files (like .key files when
  building .csr files) by marking them as .PRECIOUS
• Sat Aug 19 2000 Nalin Dahyabhai [email protected]
• break out python extensions into a subpackage
• Mon Jul 17 2000 Nalin Dahyabhai [email protected]
• tweak the makefile some more
• Tue Jul 11 2000 Nalin Dahyabhai [email protected]
• disable MD2 support
• Thu Jul 06 2000 Nalin Dahyabhai [email protected]
• disable MDC2 support
• Sun Jul 02 2000 Nalin Dahyabhai [email protected]
• tweak the disabling of RC5, IDEA support
• tweak the makefile
• Thu Jun 29 2000 Nalin Dahyabhai [email protected]
• strip binaries and libraries
• rework certificate makefile to have the right parts for Apache
• Wed Jun 28 2000 Nalin Dahyabhai [email protected]
• use %{_perl} instead of /usr/bin/perl
• disable alpha until it passes its own test suite
• Fri Jun 09 2000 Nalin Dahyabhai [email protected]
• move the passwd.1 man page out of the passwd package's way
• Fri Jun 02 2000 Nalin Dahyabhai [email protected]
• update to 0.9.5a, modified for US
• add perl as a build-time requirement
• move certificate makefile to another package
• disable RC5, IDEA, RSA support
• remove optimizations for now
• Wed Mar 01 2000 Florian La Roche Florian. [email protected]
• Bero told me to move the Makefile into this package
• Wed Mar 01 2000 Florian La Roche Florian. [email protected]
• add lib*.so symlinks to link dynamically against shared libs
• Tue Feb 29 2000 Florian La Roche Florian. [email protected]
• update to 0.9.5
• run ldconfig directly in post/postun
• add FAQ
• Sat Dec 18 1999 Bernhard Rosenkrdnzer [email protected]
• Fix build on non-x86 platforms
• Fri Nov 12 1999 Bernhard Rosenkrdnzer [email protected]
• move /usr/share/ssl/* from -devel to main package
• Tue Oct 26 1999 Bernhard Rosenkrdnzer [email protected]
• inital packaging
• changes from base:
  
  
  
  • Move /usr/local/ssl to /usr/share/ssl for FHS compliance
  
  
  • handle RPM_OPT_FLAGS
  
  

Похоже, @Lekinho удалил свою учетную запись на github? Для следующего человека, у которого есть проблемы: возможно, их обновление OpenSsl или Python сломало некоторые скомпилированные привязки c. Всякий раз, когда у меня происходит такое обновление, я выбрасываю свой virtualenv или все пакеты, а затем создаю новый.

@jvanasco я все еще здесь.
Мне было интересно, у вас есть общедоступный URL-адрес, с которым я мог бы проверить это? Я хочу посмотреть, действительно ли обходной путь решает проблему для подтвержденных случаев (это будет означать, что я ничего не напортачил, пытаясь это сделать)

@Лукаса

подмножество набора изменений между рабочей версией и обновленной версией: +1:
Пн, 02 мая 2016 г. Томаш Мраз [email protected] 1.0.1e-48.1
исправить CVE-2016-2105 - возможное переполнение в кодировке base64
исправить CVE-2016-2106 - возможное переполнение в EVP_EncryptUpdate()
исправление CVE-2016-2107 - заполнение оракула в прошитом AES-NI CBC-MAC
исправить CVE-2016-2108 — повреждение памяти в кодировщике ASN.1
исправить CVE-2016-2109 — возможный отказ в обслуживании при чтении данных ASN.1 из BIO
исправить CVE-2016-0799 — проблемы с памятью в BIO_printf

Ср, 24 февраля 2016 г. Томаш Мраз [email protected] 1.0.1e-48

исправление CVE-2016-0702 — атака по сторонним каналам на модульное возведение в степень
исправление CVE-2016-0705 — двойное освобождение при разборе закрытого ключа DSA
исправить CVE-2016-0797 — повреждение кучи в BN_hex2bn и BN_dec2bn

Вт, 16 февраля 2016 г. Томаш Мраз [email protected] 1.0.1e-47

исправить CVE-2015-3197 — принудительное применение набора шифров SSLv2
отключить SSLv2 в общем методе TLS

Пт, 15 января 2016 г. Томаш Мраз [email protected] 1.0.1e-46

исправить 1-байтовую утечку памяти при синтаксическом анализе pkcs12 (#1229871)
задокументировать некоторые параметры команды скорости (#1197095)

Чт, 14 января 2016 г. Томаш Мраз [email protected] 1.0.1e-45

исправить высокоточные временные метки в органе временных меток

Пн, 21 декабря 2015 г. Томаш Мраз [email protected] 1.0.1e-44

исправить CVE-2015-7575 — запретить использование MD5 в TLS1.2

Пт, 04 декабря 2015 г. Томаш Мраз [email protected] 1.0.1e-43

исправить CVE-2015-3194 — сбой проверки сертификата с отсутствующим параметром PSS
исправить CVE-2015-3195 — утечка памяти X509_ATTRIBUTE
исправить CVE-2015-3196 — состояние гонки при обработке подсказки идентификации PSK

Вт, 23 июня 2015 г. Томаш Мраз [email protected] 1.0.1e-42

Обновлять :
Поэтому я нашел обходной путь для этого.
По сути, коллега читал об этой проблеме и видел несколько сообщений о том, что поддержка RHEL openssl для шифрования ECC/ECDH не является 100% по какой-либо причине.

Мы опробовали запрос к URL-адресу, явно отключив шифры ECDH (добавив отрицание из самого скрипта openssl, т.е. openssl s_client -connect 10.85.103.218:8443 -cipher 'DEFAULT:!ECDH')

Нам удалось успешно подключиться.

Вот список шифров по умолчанию для openssl в Ubuntu 14.04.
ECDH+ AESGCM:DH+AESGCM :ECDH+AES256:DH+AES256:ECDH+AES128:DH+ AES:ECDH+HIGH :DH+ HIGH:ECDH+3DES :DH+3 DES:RSA+AESGCM :RSA+ AES:RSA+HIGH :RSA +3DES:!aNULL:!eNULL:!MD5

Итак, обладая этими знаниями, я использовал pyopenssl для распечатки моих шифров SSL по умолчанию и явно удалил каждый шифр ECDH из строки. Сделал это прямо в блоке, чтобы импортировать urllib3 из пакета запросов (т.е. до того, как начать делать какие-либо фактические запросы), вот что-то похожее:
https://github.com/kennethreitz/requests/issues/1308

Я понимаю, что это действие может быть сопряжено с риском для безопасности, но, по крайней мере, оно заставляет нас двигаться дальше и проливает на это больше света.

Почему именно эти шифры представляют проблему для RHEL, я понятия не имею.

Я постараюсь, когда у меня будет больше времени, посмотреть, какие конкретные изменения RHEL могли внести это, и больше узнать о цели.

Кто-нибудь знает больше о шифрах в целом?

Такая же проблема... АРГ...

Разочарование @lukas-gitl не поможет вам решить проблему. Предоставление нам информации о вашем окружении (желательно некоторой, если не всей, информации, которую мы запрашивали у Lekinho выше) поможет.

@sigmavirus24 Извинения. Я хотел предоставить больше информации, а потом отвлекся (поскольку у меня не было на это времени). Я использую Ubuntu 14.04, python 2.7.6 и последнюю версию запросов на pip. Это происходит, когда я пытаюсь получить доступ в качестве конечной точки шлюза API (они могут быть весьма ограничительными).

Я попытался удалить virtualenv и восстановить его, но, к сожалению, это не решило проблему.

Дайте мне знать, что еще вам нужно. Я переключился на nodejs на время, но был бы рад помочь с решением.

@ lukas-gitl Весьма вероятно, что серверу, с которым вы связываетесь, требуются шифры, которые вы не предлагаете, или версии TLS, которые вы не предлагаете. Это может быть связано с установленным вами OpenSSL. Вам также следует попробовать запустить pip install requests[security] : у вас могут возникнуть проблемы с SNI.

Ага, я тоже уже пробовал. Позвольте мне собрать здесь быстрый тестовый сценарий, чтобы мы были на одной странице.

virtualenv -p /usr/bin/python2.7 env
источник env/bin/активировать
запросы на установку pip
запросы на установку pip[безопасность]
echo 'запросы на импорт' >> test.py
echo 'requests.get("https://API_ID.execute-api.us-west-2.amazonaws.com/ENV/ENPOINT")' >> test.py
Python test.py

И какую конкретно ошибку вы видите?

.../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:318: SNIMissingWarning: An HTTPS request has been made, but the SNI (Subject Name Indication) extension to TLS is not available on this platform. This may cause the server to present an incorrect TLS certificate, which can cause validation failures. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#snimissingwarning. SNIMissingWarning .../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:122: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning. InsecurePlatformWarning Traceback (most recent call last): File "test.py", line 2, in <module> requests.get("https://sbsz8eqowe.execute-api.us-west-2.amazonaws.com/dev/segment_to_s3_webhook") File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure```

Так что мне в основном требуется обновить до более поздней версии Python?

Хорошо, оба этих предупреждения предполагают, что ваши запросы на самом деле не используют расширения из request[security]. Это настоятельно предполагает, что любой Python, который вы выполняете, _не_ тот, который вы установили в своей виртуальной среде: расширение request[security] должно удалить эти предупреждения.

@ lukas-gitl, пожалуйста, смотрите мои заметки выше.
У вас есть доступ к серверу? сравните список шифров по умолчанию для сервера и клиента.
Весьма вероятно, что один из них не поддерживает первый набор шифров в другом, отсюда и ошибка.

Вы можете проверить шифры по умолчанию с помощью простого скрипта, подобного тому, что я использовал здесь:

!/usr/бин/питон

импорт системы
импорт ОС
импорт SSL
печать (ssl.OPENSSL_VERSION)
sys.path.insert(1, os.path.abspath(os.path.join(os.getcwd(), 'lib')))
sys.path.append('/usr/local/lib/python2.7/dist-пакеты')
запросы на импорт
из запросов.пакетов.urllib3.contrib импортировать pyopenssl
pyopenssl.inject_into_urllib3()
распечатать pyopenssl.DEFAULT_SSL_CIPHER_LIST

Хорошо, теперь я действительно смущен. Сообщение об ошибке исходит из виртуальной среды. Итак, как они могли появиться оттуда, пока я выполняю из другой среды Python?

Поэтому я попробовал pip install pyopenssl ndg-httpsclient pyasn1 вместо pip install requests[security] , и это сработало...

Ага, я подозреваю, что ваш пункт слишком стар, чтобы справиться с дополнительными услугами.

Ах, черт. Это многое объясняет. Большое спасибо за Вашу помощь!

Здесь я столкнулся с той же проблемой, мне нужно было отправить запрос GET по следующему коду:
requests.get('https://mdskip.taobao.com/core/initItemDetail.htm?itemId=530444505608&showShopProm=false&queryMemberRight=true&isRegionLevel=false&tmallBuySupport=true&addressLevel=2&sellerPreview=false&isForbidBuyItem=false&cachedTimestamp=1466835924196&offlineShop=false&household=false&tryBeforeBuy=false&isSecKill=false&service3C=false&isApparel=true&isUseInventoryCenter=false&cartEnable=true&isAreaSell=false&callback=setMdskip&timestamp=1466841669969&isg=Al9faN3XWRpIf6UEoQ88UH/1b7np0rNm&ref=https%3A%2F%2Fs.taobao.com%2Fsearch%3Fq%3D%25E6%258B%2589%25E5%25A4%258F%25E8%25B4%259D%25E5%25B0%2594%26imgfile%3D%26commend%3Dall%26ssid%3Ds5-e%26search_type%3Ditem%26sourceId%3Dtb.index%26spm%3Da21bo.50862.201856-taobao-item.1%26ie%3Dutf8%26initiative_id%3Dtbindexz_20160625')

к сожалению, мне дали информацию об ошибке:
Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

Я пытался варить установку openssl, варить обновление openssl, pip install --upgrade pip, запросы на установку pip, запрос на установку pip [безопасность], но они не работали.

Однако, когда я набираю openssl version , я получаю OpenSSL 0.9.8zh 14 Jan 2016 , я не знаю, все ли в порядке.

Есть ли кто-нибудь, кто мог бы помочь мне с этим?

@ jschwinger23 Не могли бы вы также запустить pip install pyopenssl ndg-httpsclient pyasn1 , пожалуйста?

@Lukasa Спасибо за ответ. Я подтвердил, что установил их:

$ pip install pyopenssl ndg-httpsclient pyasn1 Requirement already satisfied (use --upgrade to upgrade): pyopenssl in /System/Library/Frameworks/Python.framework/Versions/2.7/Extras/lib/python Requirement already satisfied (use --upgrade to upgrade): ndg-httpsclient in /Library/Python/2.7/site-packages Requirement already satisfied (use --upgrade to upgrade): pyasn1 in /Library/Python/2.7/site-packages

но код все еще не работает.

Так или иначе, я понял, что в Python3 все идет хорошо, и я рад, что могу писать код на python3.
Спасибо большое.

Выполнил приведенные выше инструкции, но все еще сталкивается с этой проблемой

``` Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

Любые идеи?
``````

@rohanpai Вполне вероятно, что у вас либо нет перекрытия шифров, либо удаленный сервер недоволен предлагаемыми вами версиями, либо вы должны предоставить сертификат клиента, а этого нет. Трудно дать более конкретный совет. Попробуйте это , чтобы исследовать проблему.

В Ubuntu 14.04LTS мне нужно было сделать это:

sudo pip install ndg-httpsclient pyasn1 --upgrade

Обратите внимание, что в Ubuntu невозможно обновить/удалить pyopenssl , так как он принадлежит ОС.

решение Маркстреффорда сработало и для меня на mac os sierra

Решение @markstrefford также сработало для меня.

Просто предупреждение для тех, кто использует OpenSSL 1.1:
Вы также столкнетесь с этой проблемой, даже при форсировании адаптеров TLS, когда удаленный сервер предлагает эллиптические кривые в качестве первого варианта.
Причина: http://bugs.python.org/issue29697 .

Привет ребят! У меня такая же проблема со следующим сервером https://34.200.105.231/SID/Service.svc?wsdl . Я пробовал все, и я прыгаю от и к тем же 2 ошибкам:

• requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)
• requests.exceptions.SSLError: EOF occurred in violation of protocol (_ssl.c:661)

Есть идеи? @Lukasa , я вижу несколько проблем с сертификатом, но кажется, что это не должно быть так уж плохо: https://sslanalyzer.comodoca.com/?url=34.200.105.231

Сертификат обычно не вызывает эту проблему: эта проблема вызвана зависанием сервера , поэтому обычно это результат несоответствия набора шифров. В данном случае это именно то, что происходит, как вы можете видеть здесь .

Честно говоря, это сервер, который никогда не должен быть доступен в открытом Интернете. Безопасных способов связи с этим сервером нет: нет, ноль. Вот почему рукопожатие не удается: запросы принимают только современные наборы шифров, а для этого сервера нет доступных современных наборов шифров. Наилучший вариант — TLS_RSA_WITH_3DES_EDE_CBC_SHA , который мы удалили, поскольку он уязвим для практических атак на крупномасштабную передачу данных.

Если это ваш сервер, обновите его до лучшей реализации TLS или измените настройки. В противном случае, мой первый совет — пересмотреть возможность общения с этим сервером. Если надо, то можете использовать код здесь , но я настоятельно рекомендую вам надавить на оператора сервера, чтобы он исправил этот бардак.

@Lukasa - спасибо, что проработали это со всеми! Я прочитал и попробовал большую часть этого

Проблема

При запуске скрипта в Windows все работает.
При запуске скрипта в OSX получите:

raise SSLError(e, request=request)
requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)

Я не уверен, что это не сам сервер, но был бы признателен за любую дополнительную помощь, чтобы подтвердить и/или вытащить меня из этой кроличьей норы. Было бы огромной победой заставить его работать.

Особенности ОСХ:

• Питон Питон 2.7.10
• OpenSSL OpenSSL 1.1.1-dev xx XXX xxxx (скомпилировано через GitHub)
• используя PIP для установки

Предпринятые попытки

• удален pyopenssl, запросы, запросы [безопасность], криптография
• установлен против env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install --force-reinstall --no-cache-dir {PACKAGE}

Я не на 100% уверен, что установка против openssl действительно что-то сделала, так как она, казалось, действовала так же, как установка без (например, скорость и обмен сообщениями выглядели одинаково)

Как указано в другом потоке (выше), подключение напрямую через openSSL appears , чтобы быть счастливым?

openssl s_client -connect XXX.102.7.147:443
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 198 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1493384325
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---

Э-э ... OpenSSL технически в порядке, но этот OpenSSL не согласовал шифр (то есть, похоже, он согласовал SSL_NULL_WITH_NULL_NULL . Можете ли вы запустить ssllabs на своем сервере и проверить, какие наборы шифров он поддерживает?

@Lukasa Это не выставлено в Интернете, есть ли какой-нибудь зонд командной строки, который я мог бы запустить, который мог бы предоставить вам адекватную информацию?

Вы можете попробовать cipherscan .

@Lukasa установил его ... он работает шатко (без вывода, наблюдая за ним) ... отпишусь, если я придумаю что-нибудь, что можно было бы передать. Спасибо за руководство!

@Lukasa большое спасибо за вашу помощь - на самом деле шифрование никогда не работало, но мы исправили наши проблемы. Это не имело ничего общего со всем этим и было глупым несоответствием IP-адресов в наших средах ... извлеченные уроки! Спасибо ...

Ничего страшного, рад что разобрались!

streamlink -l debug h ttpstream://https ://www.arconaitv.us/stream.php?id= 43 худшее
[cli][info] streamlink работает от имени пользователя root! Будь осторожен!
[cli][debug] ОС: Linux-4.14.0-041400-generic-x86_64-with-Ubuntu-14.04-trusty
[cli][отладка] Python: 2.7.6
[кли] [отладка] Streamlink: 0.13.0+27.g2ff314c
[cli][debug] Запросы (2.19.1), Socks (1.6.7), Websocket (0.48.0)
[cli][info] Найден соответствующий плагин http для URL h ttpstream://https ://www.arconaitv.us/stream.php?id= 43
[plugin.http][debug] URL= https://www.arconaitv.us/stream.php?id=43; параметры = {}
[cli][info] Доступные трансляции: в прямом эфире (худший, лучший)
[cli][info] Трансляция открытия: прямой эфир (http)
[cli][debug] Предварительная буферизация 8192 байта
[cli][info] Стартовый игрок: /usr/bin/vlc
[cli][debug] Запись потока для вывода
[cli][info] Трансляция завершена
[cli][info] Закрытие открытого потока..

пытался, но не повезло

Наконец-то заработал tvplayer на локальном ПК. Я установил tinyproxy на свой локальный компьютер, но в vps httpproxy xxxx не работает.
с tinyproxy все в порядке, или мне нужно установить какой-нибудь другой прокси-сервер на моем локальном компьютере.

крошечный прокси.txt

Привет, @maanich , похоже, это не имеет прямого отношения к этой проблеме и не является отчетом о дефекте для запросов, для чего предназначен этот трекер проблем. Если у вас есть вопросы о конфигурации системы, их лучше всего решить на такой платформе, как StackOverflow . Спасибо!

streamlink --https-proxy " http://8xxxx :8000/" --tvplayer-email [email protected] --tvplayer-password vcvdf3 --http-no-ssl-verify https://tvplayer.com/watch /itv лучший --player-no-close --stdout | /var/tmp/youtube/ffmpeg -y -i pipe:0 -vcodec copy -acodec copy -flags -global_header -hls_flags delete_segments -hls_time 10 -hls_list_size 6 /mnt/hls/arc.m3u8
ffmpeg версии 4.0-static https://johnvansickle.com/ffmpeg/ Copyright (c) 2000-2018 разработчики FFmpeg
построен с помощью gcc 6.3.0 (Debian 6.3.0-18+deb9u1) 20170516
конфигурация: --enable-gpl --enable-version3 --enable-static --disable-debug --disable-ffplay --disable-indev=sndio --disable-outdev=sndio --cc=gcc-6 -- enable-libxml2 --enable-fontconfig --enable-frei0r --enable-gnutls --enable-gray --enable-libaom --enable-libfribidi --enable-libass --enable-libfreetype --enable-libmp3lame -- enable-libopencore-amrnb --enable-libopencore-amrwb --enable-libopenjpeg --enable-librubberband --enable-libsoxr --enable-libspeex --enable-libvorbis --enable-libopus --enable-libtheora --enable -libvidstab --enable-libvo-amrwbenc --enable-libvpx --enable-libwebp --enable-libx264 --enable-libx265 --enable-libxml2 --enable-libxvid --enable-libzimg
libavutil 56. 14.100 / 56. 14.100
libavcodec 58.18.100 / 58.18.100
libavformat 58. 12.100 / 58. 12.100
libavdevice 58. 3.100 / 58. 3.100
libavfilter 7. 16.100 / 7. 16.100
libswscale 5. 1.100 / 5. 1.100
libswresample 3. 1.100 / 3. 1.100
libpostproc 55. 1.100 / 55. 1.100
[консоль][информация] Streamlink работает от имени пользователя root! Будь осторожен!
[console][info] Найден соответствующий плагин tvplayer для URL https://tvplayer.com/watch/itv
Ошибка: Не удалось открыть URL: https://live.tvplayer.com/stream.m3u8?id=204&Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cCo6XC9cL2xpdmUudHZwbGF5ZXIuY29tXC9zdHJlYW0ubTN1OD9pZD0yMDQiLCJDb25kaXRpb24iOnsiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE1MjkwNTc0OTR9LCJJcEFkZHJlc3MiOnsiQVdTOlNvdXJjZUlwIjoiNjIuMjEwLjE0Mi42NlwvMzIifX19XX0_&Signature=mHOteYcUu4QsbGD n0e ~ 7meDUGT8VN7bVOBAHa-0Mk6ROA9XHYx3aIAZMAo3dFjOGuWk-3MszJzRFHdv ~ -CCsmX3D8XQa2zvzfuIWfMAT ~ yDshroXBN25iW6ZJ0-7lGla00jMTUpm5sW-uDy18OkiBWgGvDVas2Lz-EW ~ 5-LTw2YWvEpqkvRB9OpcsHJj9RRQLuDVjwYKXwKvHTJmB1J ~sGE3aigaL7AZyBaIAUMcpk-xYMpDuPV9BsBN9AT397lFFRPFt155u~yeBHZ4JlUN2GINUBt0-CzGuYVq3dsO kYYEZJo9cQTVhArpo7ek03VbDP5egtCM8obN63AEkA__&Key-Pair-Id=APKAJGWDVCU4SXAPJ
pipe:0 : при обработке ввода обнаружены неверные данные

посоветуйте пожалуйста какой прокси сервер подойдет для стимлинка если есть