- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie Services locaux
- Assignée à Personne
- Système d'exploitation Tous
- Sévérité Critique
- Priorité Très Basse
- Basée sur la version 3.5.1
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Ouverte par nbanba - 23/02/2018
Dernière modification par mbizon - 18/09/2020
FS#22430 - SSL HANDSHAKE WHILE CONNECTING FTP USING FTPES://
Bonjour,
sévérité: critique: le service FTP ne fonctionne pas depuis l’extérieur
Je remonte ce BUG qui est présent au moins depuis la version 3.3 et est toujours présent en version 3.5.1:
Il y a manifestement un problème côté pki empechant le TLS de fonctionner correctement.
Pourriez vous faire quelque chose ?
En vous remerciant d’avance,
Bien cordialement,
nbanba
ANNEXES:
Voici l’échange et le refus de connexion après avoir insérer la bonne methode d’authentification AUTH TLS (before login) :
curl -vvv –insecure –tlsv1.2 –ftp-ssl-control ftp://freebox@home.soartist.net:21 * Rebuilt URL to: ftp://freebox@home.soartist.net:21/ * Trying 82.230.38.86...
* TCP_NODELAY set
* Connected to home.soartist.net (82.230.38.86) port 21 (#0)
< 220 Welcome to Freebox FTP Server.
> AUTH SSL < 504 Unknown AUTH type.
> AUTH TLS
< 234 Proceed with negotiation.
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Unknown (21):
* TLSv1.2 (IN), TLS alert, Server hello (2):
* error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
* Closing connection 0
curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
OPENSSL s_client -connect output :
openssl s_client -tls1_2 -debug -connect home.soartist.net:21
CONNECTED(00000003)
write to 0x56006938f770 [0x56006939f0f0] (176 bytes ⇒ 176 (0xB0))
0000 - 16 03 01 00 ab 01 00 00-a7 03 03 46 61 6b 35 22 ...........Fak5” 0010 - 11 96 ef ff 3c 47 6d 0f-0c 31 9b b0 80 8c 68 f7 ....<Gm..1....h.
0020 - f7 ee ab 30 53 35 91 18-00 7f 8a 00 00 38 c0 2c ...0S5.......8.,
0030 - c0 30 00 9f cc a9 cc a8-cc aa c0 2b c0 2f 00 9e .0.........+./..
0040 - c0 24 c0 28 00 6b c0 23-c0 27 00 67 c0 0a c0 14 .$.(.k.#.’.g....
0050 - 00 39 c0 09 c0 13 00 33-00 9d 00 9c 00 3d 00 3c .9.....3.....=.<
0060 - 00 35 00 2f 00 ff 01 00-00 46 00 0b 00 04 03 00 .5./.....F......
0070 - 01 02 00 0a 00 0a 00 08-00 1d 00 17 00 19 00 18 ................
0080 - 00 23 00 00 00 0d 00 20-00 1e 06 01 06 02 06 03 .#..... ........
0090 - 05 01 05 02 05 03 04 01-04 02 04 03 03 01 03 02 ................
00a0 - 03 03 02 01 02 02 02 03-00 16 00 00 00 17 ..............
00b0 - <SPACES/NULS>
read from 0x56006938f770 [0x560069395ea3] (5 bytes ⇒ 5 (0×5))
0000 - 32 32 30 20 57 220 W
139943250072832:error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:252:
— no peer certificate available
— No client certificate CA names sent
— SSL handshake has read 5 bytes and written 176 bytes
Verification: OK
— New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: PSK identity: None PSK identity hint: None SRP username: None Start Time: 1519369857 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no
—
GNUTLS-CLI output :
gnutls-cli –debug=10 –insecure –starttls-proto=ftp home.soartist.net:21
Processed 0 CA certificate(s).
Resolving ‘home.soartist.net:21’...
Connecting to ‘82.230.38.86:21’...
| <5> | |
| <3> | |
| <5> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <2> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <4> | |
| <5> | |
| <9> | |
| <5> | |
| <3> | |
| <10> | |
| <10> | |
| <10> | |
| <10> | |
| <5> | |
| <5> | |
| <5> | |
| <10> | |
| <10> | |
| <10> | |
| <10> | |
| <5> | |
| <5> | REC[0x55959897af60]: Alert[2 |
| <3> | |
| <3> | |
| <3> | |
| <3> | |
| <3> | |
| <3> |
* Fatal error: A TLS fatal alert has been received.
* Received alert [40]: Handshake failed
| <5> | REC: Sending Alert[2 |
| <5> | |
| <9> | |
| <5> |
*** handshake has failed: A TLS fatal alert has been received.
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Bonjour
probleme d'interpretation par ce site de l'output de ma console donc voici un lien ou l'output est dispo dan sun fichier text :
ftp://http://62.210.178.137/default/bug-fbx-ftpes
En vous remerciant pour votre aide et le debug
nbanba
le lien valide : http//62.210.178.137/default/bug-fbx-ftpes
Bonsoir,
Est-ce que la chaine de certificat que vous avez installé via FreeboxOS comporte un certificat intermédiaire ?
Cordialement,
Bonjour,
Non, le certificat est émis sous la racine de la PKI et sans intermédiaires (cette pki est dédiée aux devices du segment interne ou j'ai ma freebox).
D'ailleurs, il serait bien de pouvoir injecter la clé publique de la rootCA dans la freebox.
Depuis l'ouverture de ce ticket, j'ai changé de client et de box (maintenant j'ai une Delta en dernière version fbxOS)
Les clients ont également changés : distrib linux + 2 ou 3 release majeur, N réinstallations complètes de X machines (toutes à jour) servant aujourd'hui de clients.
En refaisant le test à l'instant sur mon dernier laptop (XPS15 7590) qui a 2 mois et qui est en debian 10.4, j'obtiens les mêmes erreurs avec cURL et avec gnutls-bin, même en passant la version de TLS à 1.3 :
output gnutls : gnutls-cli –debug=10 –insecure –starttls-proto=ftp home.soartist.net:21
output cURL : curl -vvv –insecure –tlsv1.3 –ftp-ssl-control ftp://freebox@home.soartist.net:21 idem en mettant –tlsvv1.x , x allant de rien à 3
Depuis que je suis passé sur une delta en fibre a 10G, je suis encore plus inerressé par cette option.
Cordialement,
nbanba
Bonjour
Sorry j'ai oublié l'output d'openSSL qui est identique en tls1.2 et en tls1.3
TLS1.2
19:46:55 nba@lap-nba:~$ openssl s_client -tls1_2 -debug -connect home.soartist.net:21 CONNECTED(00000003) write to 0x5646fa276150 [0x5646fa288840] (214 bytes => 214 (0xD6)) 0000 - 16 03 01 00 d1 01 00 00-cd 03 03 0d de 96 97 f5 ................ 0010 - 5d 66 95 61 d6 3b 63 72-47 fb 1d 96 9c 36 ae d3 ]f.a.;crG....6.. 0020 - b1 05 78 ba 23 11 b2 d9-30 d6 0c 00 00 38 c0 2c ..x.#...0....8., 0030 - c0 30 00 9f cc a9 cc a8-cc aa c0 2b c0 2f 00 9e .0.........+./.. 0040 - c0 24 c0 28 00 6b c0 23-c0 27 00 67 c0 0a c0 14 .$.(.k.#.'.g.... 0050 - 00 39 c0 09 c0 13 00 33-00 9d 00 9c 00 3d 00 3c .9.....3.....=.< 0060 - 00 35 00 2f 00 ff 01 00-00 6c 00 00 00 16 00 14 .5./.....l...... 0070 - 00 00 11 68 6f 6d 65 2e-73 6f 61 72 74 69 73 74 ...home.soartist 0080 - 2e 6e 65 74 00 0b 00 04-03 00 01 02 00 0a 00 0c .net............ 0090 - 00 0a 00 1d 00 17 00 1e-00 19 00 18 00 23 00 00 .............#.. 00a0 - 00 16 00 00 00 17 00 00-00 0d 00 2a 00 28 04 03 ...........*.(.. 00b0 - 05 03 06 03 08 07 08 08-08 09 08 0a 08 0b 08 04 ................ 00c0 - 08 05 08 06 04 01 05 01-06 01 03 03 03 01 03 02 ................ 00d0 - 04 02 05 02 06 02 ...... read from 0x5646fa276150 [0x5646fa27f533] (5 bytes => 5 (0x5)) 0000 - 32 32 30 20 57 220 W 140399272268928:error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:332: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 5 bytes and written 214 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: PSK identity: None PSK identity hint: None SRP username: None Start Time: 1591897619 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no --- read from 0x5646fa276150 [0x5646fa26c3d0] (8192 bytes => 31 (0x1F)) 0000 - 65 6c 63 6f 6d 65 20 74-6f 20 46 72 65 65 62 6f elcome to Freebo 0010 - 78 20 46 54 50 20 53 65-72 76 65 72 2e 0d 0a x FTP Server... read from 0x5646fa276150 [0x5646fa26c3d0] (8192 bytes => 0 (0x0))TLS1.3
Rien en change donc par rapport aux tests que j'avais fait en 2018.
Cordialement,
nbanba
Bonsoir,
Nous avons corrigé un bug dans le ftp empêchant l'utilisation de certificats sans intermédiaires, dans les firmwares récents.
Est-ce que vous pouvez me dire si le bug est toujours présent ?
Merci et bonne soirée,
Bonjour
Je suis encore en congé, je ne pourrais tester que la semaine prochaine.
Je vous fais un retour des que je rentre.
Sorry !
Cordialement
nbanba
Bonjour,
Merci ça fonctionne :
Pour moi, vous pouvez fermer ce case
Merci,
Cordialement,
nbanba
Bonsoir,
Merci pour le retour, je close le case.
Bonne soirée,