我正在尝试使用简单的 PERL 脚本连接到封闭的服务器(空调)
#!/usr/bin/perl
use 5.10.1;
use warnings;
use strict;
use IO::Socket::SSL;
use IO::Socket::SSL qw/debug3/;
my $sock = IO::Socket::SSL->new(
PeerHost => '192.168.1.4',
PeerPort => 2878,
verify_hostname => 0,
SSL_verify_mode => SSL_VERIFY_NONE,
SSL_verifycn_scheme => undef
) or die "failed connect or ssl handshake: $!,$SSL_ERROR";
print "$sock\n";
现在,这一切都运行良好,然后我准确地说更新了 OpenSSL (libssl1.0.0),一切都崩溃了:
DEBUG: .../IO/Socket/SSL.pm:220: set domain to 2
DEBUG: .../IO/Socket/SSL.pm:1653: new ctx 1984680
DEBUG: .../IO/Socket/SSL.pm:363: socket not yet connected
DEBUG: .../IO/Socket/SSL.pm:365: socket connected
DEBUG: .../IO/Socket/SSL.pm:383: ssl handshake not started
DEBUG: .../IO/Socket/SSL.pm:446: Net::SSLeay::connect -> -1
DEBUG: .../IO/Socket/SSL.pm:1328: SSL connect attempt failed with unknown error error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
DEBUG: .../IO/Socket/SSL.pm:452: fatal SSL error: SSL connect attempt failed with unknown error error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
DEBUG: .../IO/Socket/SSL.pm:1328: IO::Socket::INET6 configuration failed error:00000000:lib(0):func(0):reason(0)
DEBUG: .../IO/Socket/SSL.pm:1690: free ctx 1984680 open=1984680
DEBUG: .../IO/Socket/SSL.pm:1698: OK free ctx 1984680
failed connect or ssl handshake: ,IO::Socket::INET6 configuration failed error:00000000:lib(0):func(0):reason(0) at ./spare line 9.
我很高兴使用任何替代包来解决这个问题,但我确实需要解决它,因为我无法更新空调上的证书......
我已经研究过使用 LWP 和原始 Net:SSLeay,但问题似乎出在底层 OpenSSL 库中。
... SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
我已经研究过使用 LWP 和原始 Net:SSLeay,但问题似乎出在底层 OpenSSL 库中。
虽然这是由 OpenSSL 的更改引起的,但问题实际上出在服务器端。服务器在密钥交换中使用弱 DH 密钥,并且最新版本的 OpenSSL 强制使用非弱 DH 密钥,因为僵局攻击 https://weakdh.org/.
如果服务器支持不使用 DH 密钥交换的密码,您可以通过限制客户端提供的密码使其不包含任何 DH 密码来解决该问题。
my $sock = IO::Socket::SSL->new(..., SSL_cipher_list => 'DEFAULT:!DH' ...);
除此之外,像您一样简单地禁用任何验证是不好的:
...
verify_hostname => 0,
SSL_verify_mode => SSL_VERIFY_NONE,
SSL_verifycn_scheme => undef
其一,verify_hostname根本不是一个有效的参数(仅适用于 LWP)。另外,您不需要设置SSL_verifycn_scheme如果您禁用验证SSL_verify_mode因为没有验证也意味着没有验证证书主题。
但比禁用验证更好的是使用SSL_fingerprint指定您期望的证书,从而对自签名或过期的证书进行适当的检查。看常见的使用错误 https://metacpan.org/pod/IO::Socket::SSL#Common-Usage-Errors有关详细信息,请参阅 IO::Socket::SSL 文档。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
