PHP握手失败TLS1.0
[英]PHP handshake fail TLS1.0
问题描述
我试着通过连接fsockopen到sendm.cert.legalmail.it的465端口,是在意大利被称为PEC SMTPS服务。
对于任何版本的PHP,我都尝试过以下代码片段工作:
<?php
fsockopen('tls://sendm.cert.legalmail.it', 465);
使用OpenSSL 1.0.2h一切正常,如果我升级到OpenSSL 1.0.2j此代码段将失败,并显示以下错误:
PHP Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages:
error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure in ~/Development/experimental/php-handshake/connect.php on line 3
PHP Warning: fsockopen(): Failed to enable crypto in ~/Development/experimental/php-handshake/connect.php on line 3
PHP Warning: fsockopen(): unable to connect to tls://sendm.cert.legalmail.it:465 (Unknown error) in ~/Development/experimental/php-handshake/connect.php on line 3
因此,对于OpenSSL 1.0.2j我尝试通过命令行进行连接:
openssl s_client -connect sendm.cert.legalmail.it:465
它运作完美。
我尝试使用testssl在服务器上检查SSL,这是转储(已剥离):
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 not offered
TLS 1.2 not offered
Version tolerance downgraded to TLSv1.0 (OK)
仅TLS 1可用,我尝试使用此uri将握手强制为TLS1: 'tlsv1.0:://sendm.cert.legalmail.it'但结果是相同的。
我在使用PHP5.6和PHP7.1测试的Ubuntu 16.04。
错误在哪里? 在openssl中? 在PHP中? 在服务器握手?
如果我看在更新总是chiper与./testssl.sh -E sendm.cert.legalmail.it:465与OpenSSL 1.0.2j回报:
x05 RC4-SHA RSA RC4 128 TLS_RSA_WITH_RC4_128_SHA
x04 RC4-MD5 RSA RC4 128 TLS_RSA_WITH_RC4_128_MD5
x16 EDH-RSA-DES-CBC3-SHA DH 1024 3DES 168 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
x0a DES-CBC3-SHA RSA 3DES 168 TLS_RSA_WITH_3DES_EDE_CBC_SHA
x15 EDH-RSA-DES-CBC-SHA DH 1024 DES 56 TLS_DHE_RSA_WITH_DES_CBC_SHA
x09 DES-CBC-SHA RSA DES 56 TLS_RSA_WITH_DES_CBC_SHA
x14 EXP-EDH-RSA-DES-CBC-SHA DH(512) DES 40,exp TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
x08 EXP-DES-CBC-SHA RSA(512) DES 40,exp TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
x06 EXP-RC2-CBC-MD5 RSA(512) RC2 40,exp TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
x03 EXP-RC4-MD5 RSA(512) RC4 40,exp TLS_RSA_EXPORT_WITH_RC4_40_MD5
使用版本OpenSSL 1.0.2h
x05 RC4-SHA RSA RC4 128
x04 RC4-MD5 RSA RC4 128
x16 EDH-RSA-DES-CBC3-SHA DH 1024 3DES 168
x0a DES-CBC3-SHA RSA 3DES 168
php const OPENSSL_DEFAULT_STREAM_CIPHERS在所有版本中都是相同的:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!SSLv2:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!RC4:!ADH
3 个解决方案
解决方案1
2 已采纳 2016-11-30 09:19:22
好的,经过一番研究,我发现了原因:
PHP具有OPENSSL_DEFAULT_STREAM_CIPHERS ,该文件包含使用以下命令对openssl的默认查询:
openssl ciphers -v `php -r 'echo OPENSSL_DEFAULT_STREAM_CIPHERS;'`
我得到了PHP可以使用安装的openssl当前版本处理的所有密码。
在1.0.2h和1.0.2j ,同一查询返回不同的密码,列出了对这些密码的丢弃支持:
-
EDH-RSA-DES-CBC3-SHA -
DES-CBC3-SHA
因此,默认情况下,PHP无法正确处理连接,但是如果我使用此密码强制$context ,则连接发生:
$context = stream_context_create(
[
'ssl' => [
'ciphers' => 'EDH-RSA-DES-CBC3-SHA:DES-CBC3-SHA',
],
]
);
$fp = stream_socket_client(
'tls://sendm.cert.legalmail.it:465',
$errno,
$errstr,
30,
STREAM_CLIENT_CONNECT,
$context
);
解决方案2
1 2017-05-05 14:56:05
对于遇到同样问题的其他所有人:似乎Legalmail TLS服务器现在支持TLSv1.2,因此这对他们而言不再是问题。
解决方案3
0 2016-11-29 22:37:20
完全编辑答案:在此处查看答案HTTPS和SSL3_GET_SERVER_CERTIFICATE:证书验证失败,CA正常
这很可能是造成袜子和卷曲的原因。 尽管他的问题在windows / xampp上,但我想它会有所帮助,我想升级操作系统的人没有将php.ini与新版本合并。
OpenADR 2.0a Pull VEN-PHP中cURL的TLS安全握手问题?
[英]OpenADR 2.0a Pull VEN - TLS security handshake problems with cURL in PHP?
Stripe-PHP错误-Stripe不再支持使用TLS 1.0发出的API请求
[英]Stripe - PHP error - Stripe no longer supports API requests made with TLS 1.0
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.