PHP握手失败TLS1.0

原文

我尝试通过fsockopen连接到465端口上的sendm.cert.legalmail.it,是意大利的名为PEC的SMTPS服务.

使用任何版本的PHP我都试过这个片段工作:

<?PHP
fsockopen('tls://sendm.cert.legalmail.it',465);

所有这一切都可以使用OpenSSL 1.0.2h,如果我升级到OpenSSL 1.0.2j这个代码片段失败并出现此错误:

PHP Warning:  fsockopen(): SSL operation Failed with code 1. OpenSSL Error messages:
    error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure in ~/Development/experimental/PHP-handshake/connect.PHP on line 3
    PHP Warning:  fsockopen(): Failed to enable crypto in ~/Development/experimental/PHP-handshake/connect.PHP on line 3
    PHP Warning:  fsockopen(): unable to connect to tls://sendm.cert.legalmail.it:465 (UnkNown error) in ~/Development/experimental/PHP-handshake/connect.PHP on line 3

所以使用OpenSSL 1.0.2j我尝试通过命令行连接:

openssl s_client -connect sendm.cert.legalmail.it:465

它完美地运作.

我尝试使用testssl在服务器上检查SSL,这是转储(剥离):

SSLv2               not offered (OK)
SSLv3               not offered (OK)
TLS 1               offered
TLS 1.1             not offered
TLS 1.2             not offered
Version tolerance   downgraded to TLSv1.0 (OK)

只有TLS 1是可用的,我尝试用这个uri强制握手到TLS1:’tlsv1.0 :: //sendm.cert.legalmail.it’但结果是一样的.

我在Ubuntu 16.04上,使用PHP5.6和PHP7.1进行测试.

这个bug在哪里?在openssl?在PHP?在服务器握手?

更新,如果我总是使用./testssl.sh -E sendm.cert.legalmail.it:465与OpenSSL 1.0.2j返回时查看chiper:

x05     RC4-SHA                           RSA        RC4       128      TLS_RSA_WITH_RC4_128_SHA                           
x04     RC4-MD5                           RSA        RC4       128      TLS_RSA_WITH_RC4_128_MD5                           
x16     EDH-RSA-DES-CBC3-SHA              DH 1024    3DES      168      TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA                  
x0a     DES-CBC3-SHA                      RSA        3DES      168      TLS_RSA_WITH_3DES_EDE_CBC_SHA                      
x15     EDH-RSA-DES-CBC-SHA               DH 1024    DES       56       TLS_DHE_RSA_WITH_DES_CBC_SHA                       
x09     DES-CBC-SHA                       RSA        DES       56       TLS_RSA_WITH_DES_CBC_SHA                           
x14     EXP-EDH-RSA-DES-CBC-SHA           DH(512)    DES       40,exp   TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA              
x08     EXP-DES-CBC-SHA                   RSA(512)   DES       40,exp   TLS_RSA_EXPORT_WITH_DES40_CBC_SHA                  
x06     EXP-RC2-CBC-MD5                   RSA(512)   RC2       40,exp   TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5                 
x03     EXP-RC4-MD5                       RSA(512)   RC4       40,exp   TLS_RSA_EXPORT_WITH_RC4_40_MD5

随着OpenSSL 1.0.2h版本

x05     RC4-SHA                           RSA        RC4       128       
x04     RC4-MD5                           RSA        RC4       128       
x16     EDH-RSA-DES-CBC3-SHA              DH 1024    3DES      168       
x0a     DES-CBC3-SHA                      RSA        3DES      168

并且PHP const OPENSSL_DEFAULT_STREAM_CIPHERS与它包含的所有版本相同:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!SSLv2:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!RC4:!ADH
好的,经过一些研究后我找到了原因:

PHP有一个OPENSSL_DEFAULT_STREAM_CIPHERS,它包含openssl的默认查询,使用以下命令:

openssl ciphers -v `PHP -r 'echo OPENSSL_DEFAULT_STREAM_CIPHERS;'`

我得到了PHP可以安装的当前版本的openssl所能处理的所有密码.

在1.0.2h和1.0.2j之间,相同的查询返回不同的密码列出了对这些的支持:

> EDH-RSA-DES-CBC3-SHA
> DES-CBC3-SHA

因此,默认情况下,PHP无法正确处理连接,但如果我使用此密码强制使用$context,则会发生连接:

$context = stream_context_create(
    [
        'ssl' => [
            'ciphers' => 'EDH-RSA-DES-CBC3-SHA:DES-CBC3-SHA',],]
);

$fp = stream_socket_client(
  'tls://sendm.cert.legalmail.it:465',$errno,$errstr,30,STREAM_CLIENT_CONNECT,$context
);

PHP握手失败TLS1.0的更多相关文章

  1. ios – 订阅来自CBC特性的通知不起作用

    现在控制台输出到这里看起来像这样:嘿!它说updateNotification是假的.它来自哪里?为什么,这是我对setNotify的回调…我告诉它要通知!让我们在println的行中设置一个断点并检查错误对象:好的,所以这让我没有想法.我无法找到有关该错误代码的相关线索.自从我尝试为之前发现的特征设置通知以来,我无法理解描述本身,因此它必须存在,对吧?此外,在Android上似乎可以订阅通知,所以我想我可以排除设备的问题……有关这方面的任何线索都非常感谢!

  2. ios – 通过UUID编写CBC特征

    我试图用CoreBluetooth写一个特定的,已知的特征.我觉得这应该是可能的,因为我使用了一个德州仪器BLE实用程序,您可以在连接的外设上选择一个“写值”操作,只需输入特征UUID和您要编写的值,并且执行没有问题.据我了解,为了做到这一点,我必须打电话配置为具有正确的UUID的CBC特征对象.我已经尝试使用正确的UUID进行CBMutableCharacteristic,甚至正确的权限,我知道

  3. swift 移动支付之【支付宝支付】详细步骤

    二.准备工作支付宝开放平台1.向支付宝签约这一步因为涉及到营业执照之类,一般有公司完成,在此不赘述了。支付宝目前只支持采用RSA加密方式做签名验证。具体到支付宝使用RSA做签名验证,就是在生产订单时,需要使用私钥生成签名值;在处理返回的支付结果时,需要使用公钥验证返回结果是否被篡改了。

  4. 使用Swift 3.0实现原生的3DES加密和解密

    它相当于是对每个数据块应用三次DES加密算法。创建项目并建立桥接文件接着我们来创建一个示例项目,对一个字符串进行3DES加密和解密。其中kCCKeySize3DES是指TripleDES加解密的key的大小,其值为24,因此这里将生成一个长度为24的包含英文大小写字母和数字的随机字符串。在Swift中,指针都使用一个特殊的类型来表示,那就是UnsafeRawPointer。根据kCCKeySize3DES的大小可以得知,keyLenght的值为24。其长度为inputbuffer的长度和3DES加密的kC

  5. PHP rsa加密解密算法原理解析

    这篇文章主要介绍了PHP rsa加密解密算法原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

  6. PHP实现RSA签名生成订单功能【支付宝示例】

    这篇文章主要介绍了PHP实现RSA签名生成订单功能,涉及php随机字符串及编码相关操作技巧,以及支付宝公钥文件读取与使用方法,需要的朋友可以参考下

  7. 简单的Python解密rsa案例

    这篇文章主要为大家介绍了简单的Python解密rsa案例详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪

  8. Node.js DES加密的简单实现

    下面小编就为大家带来一篇Node.js DES加密的简单实现。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  9. 基于 HTML+JS+PHP的账号登录信息RSA加密传输

    一、简要说明日常开发过程中,核心数据我们一般会进行加密后传输,即使报文被窃取也无法直接利用,更近一步的保障数据传输过程的安全。比较常见的如:用户登录/注册模块,对用户密码进行RSA加密后,再传输。以下为简单的举例如何通过html+js+php实现这个过程。二、基本流程三、代码参考3.1、程序文件├── index.html----------------------------登录页面├── login.php----------------------------登录账号密码校验├── get

  10. rsa详解及例题及python算法

    RSA公开密钥密码体制的原理是:根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥,这篇文章主要介绍了rsa 详解及例题及python,需要的朋友可以参考下

随机推荐

  1. PHP个人网站架设连环讲(一)

    先下一个OmnihttpdProffesinalV2.06,装上就有PHP4beta3可以用了。PHP4给我们带来一个简单的方法,就是使用SESSION(会话)级变量。但是如果不是PHP4又该怎么办?我们可以假设某人在15分钟以内对你的网页的请求都不属于一个新的人次,这样你可以做个计数的过程存在INC里,在每一个页面引用,访客第一次进入时将访问时间送到cookie里。以后每个页面被访问时都检查cookie上次访问时间值。

  2. PHP函数学习之PHP函数点评

    PHP函数使用说明,应用举例,精简点评,希望对您学习php有所帮助

  3. ecshop2.7.3 在php5.4下的各种错误问题处理

    将方法内的函数,分拆为2个部分。这个和gd库没有一点关系,是ecshop程序的问题。会出现这种问题,不外乎就是当前会员的session或者程序对cookie的处理存在漏洞。进过本地测试,includes\modules\integrates\ecshop.php这个整合自身会员的类中没有重写integrate.php中的check_cookie()方法导致,验证cookie时返回的username为空,丢失了登录状态,在ecshop.php中重写了此方法就可以了。把他加到ecshop.php的最后面去就可

  4. NT IIS下用ODBC连接数据库

    $connection=intodbc_connect建立数据库连接,$query_string="查询记录的条件"如:$query_string="select*fromtable"用$cur=intodbc_exec检索数据库,将记录集放入$cur变量中。再用while{$var1=odbc_result;$var2=odbc_result;...}读取odbc_exec()返回的数据集$cur。最后是odbc_close关闭数据库的连接。odbc_result()函数是取当前记录的指定字段值。

  5. PHP使用JpGraph绘制折线图操作示例【附源码下载】

    这篇文章主要介绍了PHP使用JpGraph绘制折线图操作,结合实例形式分析了php使用JpGraph的相关操作技巧与注意事项,并附带源码供读者下载参考,需要的朋友可以参考下

  6. zen_cart实现支付前生成订单的方法

    这篇文章主要介绍了zen_cart实现支付前生成订单的方法,结合实例形式详细分析了zen_cart支付前生成订单的具体步骤与相关实现技巧,需要的朋友可以参考下

  7. Thinkphp5框架实现获取数据库数据到视图的方法

    这篇文章主要介绍了Thinkphp5框架实现获取数据库数据到视图的方法,涉及thinkPHP5数据库配置、读取、模型操作及视图调用相关操作技巧,需要的朋友可以参考下

  8. PHP+jquery+CSS制作头像登录窗(仿QQ登陆)

    本篇文章介绍了PHP结合jQ和CSS制作头像登录窗(仿QQ登陆),实现了类似QQ的登陆界面,很有参考价值,有需要的朋友可以了解一下。

  9. 基于win2003虚拟机中apache服务器的访问

    下面小编就为大家带来一篇基于win2003虚拟机中apache服务器的访问。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  10. Yii2中组件的注册与创建方法

    这篇文章主要介绍了Yii2之组件的注册与创建的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下

返回
顶部