您的位置: 首页  >  技术问答  >  PHP握手失败TLS1.0

PHP握手失败TLS1.0

分类: 技术问答 2022-09-18 10:52:53
问题描述:

我尝试通过fsockopen连接到sendm.cert.legalmail.it465端口,这是SMTPS服务在意大利称为PEC。PHP握手失败TLS1.0

随着我已经试过这个片段的工作PHP的任何版本:

<?php 
fsockopen('tls://sendm.cert.legalmail.it', 465);

所有它的确定与OpenSSL 1.0.2h,如果我升级到OpenSSL 1.0.2j这个片段失败,此错误:

PHP Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: 
    error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure in ~/Development/experimental/php-handshake/connect.php on line 3 
    PHP Warning: fsockopen(): Failed to enable crypto in ~/Development/experimental/php-handshake/connect.php on line 3 
    PHP Warning: fsockopen(): unable to connect to tls://sendm.cert.legalmail.it:465 (Unknown error) in ~/Development/experimental/php-handshake/connect.php on line 3

因此,与OpenSSL 1.0.2j我尝试通过命令行连接:

openssl s_client -connect sendm.cert.legalmail.it:465

它完美地工作。

我尝试检查SSL服务器上testssl这是转储(剥离):

SSLv2    not offered (OK) 
SSLv3    not offered (OK) 
TLS 1    offered 
TLS 1.1    not offered 
TLS 1.2    not offered 
Version tolerance downgraded to TLSv1.0 (OK)

只有TLS 1是缴费,我尝试握手强制TLS1与此URI:'tlsv1.0:://sendm.cert.legalmail.it'但结果是一样。

我在Ubuntu 16.04上,使用PHP5.6和PHP7.1进行了测试。

错误在哪里?在openssl中?在PHP中?在服务器握手?

更新如果我在chiper看起来总是./testssl.sh -E sendm.cert.legalmail.it:465OpenSSL 1.0.2j回报:

x05  RC4-SHA       RSA  RC4  128  TLS_RSA_WITH_RC4_128_SHA       
x04  RC4-MD5       RSA  RC4  128  TLS_RSA_WITH_RC4_128_MD5       
x16  EDH-RSA-DES-CBC3-SHA    DH 1024 3DES  168  TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA     
x0a  DES-CBC3-SHA      RSA  3DES  168  TLS_RSA_WITH_3DES_EDE_CBC_SHA      
x15  EDH-RSA-DES-CBC-SHA    DH 1024 DES  56  TLS_DHE_RSA_WITH_DES_CBC_SHA      
x09  DES-CBC-SHA      RSA  DES  56  TLS_RSA_WITH_DES_CBC_SHA       
x14  EXP-EDH-RSA-DES-CBC-SHA   DH(512) DES  40,exp TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA    
x08  EXP-DES-CBC-SHA     RSA(512) DES  40,exp TLS_RSA_EXPORT_WITH_DES40_CBC_SHA     
x06  EXP-RC2-CBC-MD5     RSA(512) RC2  40,exp TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5     
x03  EXP-RC4-MD5      RSA(512) RC4  40,exp TLS_RSA_EXPORT_WITH_RC4_40_MD5

随着版本OpenSSL 1.0.2h

x05  RC4-SHA       RSA  RC4  128  
x04  RC4-MD5       RSA  RC4  128  
x16  EDH-RSA-DES-CBC3-SHA    DH 1024 3DES  168  
x0a  DES-CBC3-SHA      RSA  3DES  168

和PHP常量OPENSSL_DEFAULT_STREAM_CIPHERS是一样翻过所有versione它包含:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!SSLv2:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!RC4:!ADH

好吧,经过一些研究,我发现为什么:

PHP有OPENSSL_DEFAULT_STREAM_CIPHERS它包含了OpenSSL的默认查询,使用此命令:

openssl ciphers -v `php -r 'echo OPENSSL_DEFAULT_STREAM_CIPHERS;'`

我得到的所有密码PHP可以安装OpenSSL的当前版本的处理。

之间1.0.2h1.0.2j同一查询返回不同的密码列出这些一滴支持:

  1. EDH-RSA-DES-CBC3-SHA
  2. DES-CBC3-SHA

所以默认情况下,PHP不能正确处理连接,但如果我用这个密码强制$context连接发生:

$context = stream_context_create(
    [ 
     'ssl' => [ 
      'ciphers' => 'EDH-RSA-DES-CBC3-SHA:DES-CBC3-SHA', 
     ], 
    ] 
); 

$fp = stream_socket_client(
    'tls://sendm.cert.legalmail.it:465', 
    $errno, 
    $errstr, 
    30, 
    STREAM_CLIENT_CONNECT, 
    $context 
);

完全编辑答案:请看这里的答案HTTPS and SSL3_GET_SERVER_CERTIFICATE:certificate verify failed, CA is OK

这可能是fsock以及卷曲的原因。 虽然他的问题是在windows/xampp,我想这会有所帮助,我想升级操作系统的人没有合并php.ini与新版本

+0

但这个问题不是关于证书验证,它握手失败。 – Cronos

对于遇到同样问题的其他人:似乎Legalmail TLS服务器现在支持TLSv1.2,因此这对他们来说不再是问题。

相关推荐