Гость
Войти | Профиль | Очистить
Действия ...
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Нет соединения с веб-сервером по HTTPS / 10 сообщений из 10, страница 1 из 1
19.12.2019, 08:55
    #39905230
AziAd
AziAd
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
Не проходит соединение с веб-сервером https://stat.gov.kz, игнорируя SSL.

Код: powershell
1.
2.
3.
4.
5.
# curl -X GET -v -k -i 'https://stat.gov.kz'
* About to connect() to stat.gov.kz port 443 (#0)
*   Trying 93.185.74.116...
* Connected to stat.gov.kz (93.185.74.116) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb


curl останавливается на "Initializing NSS with certpath" до бесконечности и дальше ничего не происходит.

Код: powershell
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
# wget --no-check-certificate -d 'https://stat.gov.kz'
DEBUG output created by Wget 1.14 on linux-gnu.

URI encoding = ‘UTF-8’
Converted file name 'index.html' (UTF-8) -> 'index.html' (UTF-8)
Converted file name 'index.html' (UTF-8) -> 'index.html' (UTF-8)
--2019-12-19 11:47:46--  https://stat.gov.kz/
Resolving stat.gov.kz (stat.gov.kz)... 93.185.74.116
Caching stat.gov.kz => 93.185.74.116
Connecting to stat.gov.kz (stat.gov.kz)|93.185.74.116|:443... connected.
Created socket 3.
Releasing 0x0000000000fbc9b0 (new refcount 1).
Initiating SSL handshake.


wget также замирает на хэндшейке.

CentOS Linux release 7.7.1908 (3.10.0-957.21.3.el7.x86_64) (Core) с последними обновлениями.
Код: powershell
1.
2.
3.
4.
5.
6.
7.
8.
# curl -V
curl 7.29.0 (x86_64-redhat-linux-gnu) libcurl/7.29.0 NSS/3.44 zlib/1.2.7 libidn/1.28 libssh2/1.8.0
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp scp sftp smtp smtps telnet tftp
Features: AsynchDNS GSS-Negotiate IDN IPv6 Largefile NTLM NTLM_WB SSL libz unix-sockets

# wget -V
GNU Wget 1.14 built on linux-gnu.
+digest +https +ipv6 +iri +large-file +nls +ntlm +opie +ssl/openssl



Подозреваю, что на ресурсе stat.gov.kz установлен нетрастовый сертификат, но почему тогда не проходит curl с параметром -k. На любой другой сервер коннект благополучно проходит. В чем засада?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
19.12.2019, 09:04
    #39905233
AziAd
AziAd
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
Забыл добавить, что со второго аналогичного сервера с этой же ОСью и обновлениями проблема такая же.
С хоста с CentOS release 6.10 (Final) 2.6.32-754.17.1.el6.x86_64 коннект проходит без проблем.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
19.12.2019, 09:13
    #39905237
Basil A. Sidorov
Basil A. Sidorov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
csptest -tlsc -verbose -save server stat.gov.kz
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
12 algorithms supported:
     Aglid  Class  OID
[00] 0x660e 0x6000
[01] 0x6610 0x6000
[02] 0x6801 0x6000 1.2.840.113549.3.4 (rc4)
[03] 0x6603 0x6000 1.2.840.113549.3.7 (3des)
[04] 0x6601 0x6000 1.3.14.3.2.7 (des)
[05] 0x8003 0x8000 1.2.840.113549.2.5 (md5)
[06] 0x8004 0x8000 1.3.14.3.2.26 (sha1)
[07] 0x2400 0x2000 1.2.840.113549.1.1.1 (RSA)
[08] 0xaa02 0xa000 1.2.840.113549.1.9.16.3.5 (ESDH)
[09] 0xae06 0xa000
[10] 0x2200 0x2000 1.2.840.10040.4.1 (DSA)
[11] 0x2203 0x2000
Cipher strengths: 256..256
Supported protocols: 0x200a0:
    Secure Sockets Layer 3.0 client side
    Transport Layer Security 1.0 client side
    Datagram Transport Layer Security client side
dwProtocolMask: 0x800a0aaa
Protocol version: 3.1
ClientHello: RecordLayer: TLS, Len: 122
Cipher Suites: (ff 85) (00 81) (c0 14) (c0 13) (00 39) (00 33) (00 35) (00 2f) (c0 0a) (c0 09) (00 38) (00 32) (00 0a) (00 13) (00 05) (00 04) 
127 bytes of handshake data sent
2343 bytes of handshake data received
134 bytes of handshake data sent
59 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 301, Suite: C014 (TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256)
SECPKG_ATTR_CIPHER_INFO: Cipher: (AES), Len: 256, BlockLen: 16
SECPKG_ATTR_CIPHER_INFO: Hash: (SHA1), Len: 160
SECPKG_ATTR_CIPHER_INFO: Exchange: (ECDH_P256), MinLen: 256, MaxLen: 256
SECPKG_ATTR_CIPHER_INFO: Certificate: (RSA), KeyType: 17
SECPKG_ATTR_NAMES: CN=STAT.GOV.KZ, SERIALNUMBER=IIN801224400556, C=KZ, L=НУР-СУЛТАН, S=НУР-СУЛТАН, O="РЕСПУБЛИКАНСКОЕ ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ ""КОМИТЕТ ПО СТАТИСТИКЕ МИНИСТЕРСТВА НАЦИОНАЛЬНОЙ ЭКОНОМИКИ РЕСПУБЛИКИ КАЗАХСТАН""", OU=BIN141040006851, E=B.IMANBAEVA@ECONOMY.GOV.KZ
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 14
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 24576
SECPKG_ATTR_PACKAGE_INFO# Name: Schannel
SECPKG_ATTR_PACKAGE_INFO# Comment: Schannel Security Package

Server certificate:
Subject: CN=STAT.GOV.KZ, SERIALNUMBER=IIN801224400556, C=KZ, L=НУР-СУЛТАН, S=НУР-СУЛТАН, O="РЕСПУБЛИКАНСКОЕ ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ ""КОМИТЕТ ПО СТАТИСТИКЕ МИНИСТЕРСТВА НАЦИОНАЛЬНОЙ ЭКОНОМИКИ РЕСПУБЛИКИ КАЗАХСТАН""", OU=BIN141040006851, E=B.IMANBAEVA@ECONOMY.GOV.KZ
Valid  : 14.10.2019 12:31:13 - 13.10.2020 12:31:13 (UTC)
Issuer : C=KZ, CN=ЛТТЫ КУЛАНДЫРУШЫ ОРТАЛЫ (RSA)
Error 0x800b0109 (CERT_E_UNTRUSTEDROOT) returned by CertVerifyCertificateChainPolicy!
An error occurred in running the program.
WebClient.c:769:Error authenticating server credentials!
Error number 0x800b0109 (-2146762487).
Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия.
Цепочка должна строиться до корневого сертификата.
Если сервер не возвращает всю цепочку, то требуется ручками внести корневой, промежуточные и их списки отзыва в хранилище компьютера или конкретного пользователя.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
19.12.2019, 10:47
    #39905287
AziAd
AziAd
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
Basil A. Sidorov
Цепочка должна строиться до корневого сертификата.
Если сервер не возвращает всю цепочку, то требуется ручками внести корневой, промежуточные и их списки отзыва в хранилище компьютера или конкретного пользователя.

Что пытался сделать:
1) Скачать сертификат с stat.gov.kz и выполнить с ним curl:
Код: sql
1.
2.
3.
4.
5.
6.
7.
8.
9.
# echo quit | openssl s_client -showcerts -servername "stat.gov.kz" -connect "stat.gov.kz":443 > statgovkzcert.pem

# curl -v --cacert statgovkzcert.pem 'https://stat.gov.kz'
* About to connect() to stat.gov.kz port 443 (#0)
*   Trying 93.185.74.116...
* Connected to stat.gov.kz (93.185.74.116) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /root/statgovkzcert.pem
  CApath: none


Опять зависание... Кстати, сохранить сертификат первой командой тоже не получилось, пришлось это сделать с другого сервера с CentOS 6.

2) Пытался скачать сертификат Национального удостоверяющего центра, который выпустил этот сертификат для stat.gov.kz и подключить его в курл ( http://pki.gov.kz/cert/nca_rsa.crt ), предварительно преобразовав в pem формат:
Код: sql
1.
2.
3.
4.
5.
6.
7.
8.
9.
# openssl x509 -inform DER -in nca_rsa.crt -out nca_rsa.pem -text

# curl -v --cacert nca_rsa.pem 'https://stat.gov.kz'
* About to connect() to stat.gov.kz port 443 (#0)
*   Trying 93.185.74.116...
* Connected to stat.gov.kz (93.185.74.116) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /root/nca_rsa.pem
  CApath: none


Результат тот же.

И все таки не дает покоя вопрос, почему не проходит curl --insecure без проверки сертификата?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
19.12.2019, 11:16
    #39905315
AziAd
AziAd
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
Попробовал вручную выгрузить из Firefox три сертификата в pem формате с ресурса stat.gov.kz:
1) НЕГІЗГІ КУӘЛАНДЫРУШЫ ОРТАЛЫҚ (RSA)
2) ҰЛТТЫҚ КУӘЛАНДЫРУШЫ ОРТАЛЫҚ (RSA)
3) STAT.GOV.KZ

Скопировал в /etc/pki/ca-trust/source/anchors и выполнил команду update-ca-trust. Безрезультатно.
Код: sql
1.
2.
3.
4.
5.
6.
7.
# curl -v 'https://stat.gov.kz'
* About to connect() to stat.gov.kz port 443 (#0)
*   Trying 93.185.74.116...
* Connected to stat.gov.kz (93.185.74.116) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none


Дальше не продвигается... :(
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
19.12.2019, 23:56
    #39905840
Scott Tiger
Scott Tiger
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
AziAd, попробуйте

Код: plaintext
$ curl -v --cacert kz.pem  https://stat.gov.kz

, используя приложенный к сообщению pem-файл. Это конкатенация сертификатов "НЕГІЗГІ КУӘЛАНДЫРУШЫ ОРТАЛЫҚ (RSA)" и "ҰЛТТЫҚ КУӘЛАНДЫРУШЫ ОРТАЛЫҚ (RSA)" в pem-формате. У меня всё работает.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
20.12.2019, 00:04
    #39905846
Scott Tiger
Scott Tiger
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
$ curl -v --cacert kz.pem 'https://stat.gov.kz'
...
*   Trying 93.185.74.116...
* TCP_NODELAY set
* Failed to set TCP_KEEPALIVE on fd 4
* Expire in 200 ms for 4 (transfer 0x875c284f0)
* Connected to stat.gov.kz (93.185.74.116) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: kz.pem
  CApath: /etc/openssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
*  subject: CN=STAT.GOV.KZ; serialNumber=IIN801224400556; C=KZ; L=\U041D\U0423\U0420-\U0421\U0423\U041B\U0422\U0410\U041D; ST=\U041D\U0423\U0420-\U0421\U0423\U041B\U0422\U0410\U041D; O=\U0420\U0415\U0421\U041F\U0423\U0411\U041B\U0418\U041A\U0410\U041D\U0421\U041A\U041E\U0415 \U0413\U041E\U0421\U0423\U0414\U0410\U0420\U0421\U0422\U0412\U0415\U041D\U041D\U041E\U0415 \U0423\U0427\U0420\U0415\U0416\U0414\U0415\U041D\U0418\U0415 "\U041A\U041E\U041C\U0418\U0422\U0415\U0422 \U041F\U041E \U0421\U0422\U0410\U0422\U0418\U0421\U0422\U0418\U041A\U0415 \U041C\U0418\U041D\U0418\U0421\U0422\U0415\U0420\U0421\U0422\U0412\U0410 \U041D\U0410\U0426\U0418\U041E\U041D\U0410\U041B\U042C\U041D\U041E\U0419 \U042D\U041A\U041E\U041D\U041E\U041C\U0418\U041A\U0418 \U0420\U0415\U0421\U041F\U0423\U0411\U041B\U0418\U041A\U0418 \U041A\U0410\U0417\U0410\U0425\U0421\U0422\U0410\U041D"; OU=BIN141040006851; emailAddress=B.IMANBAEVA@ECONOMY.GOV.KZ
*  start date: Oct 14 12:31:13 2019 GMT
*  expire date: Oct 13 12:31:13 2020 GMT
*  subjectAltName: host "stat.gov.kz" matched cert's "stat.gov.kz"
*  issuer: C=KZ; CN=\U04B0\U041B\U0422\U0422\U042B\U049A \U041A\U0423\U04D8\U041B\U0410\U041D\U0414\U042B\U0420\U0423\U0428\U042B \U041E\U0420\U0422\U0410\U041B\U042B\U049A (RSA)
*  SSL certificate verify ok.
> GET / HTTP/1.1
> Host: stat.gov.kz
> User-Agent: curl/7.64.0-DEV
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx/1.16.1
< Date: Thu, 19 Dec 2019 20:51:43 GMT
...

$ curl -V
curl 7.64.0-DEV (x86_64-pc-solaris2.11) libcurl/7.64.0-DEV OpenSSL/1.0.2r zlib/1.2.11 libidn2/2.0.4 libssh2/1.7.0 nghttp2/1.35.0
Release-Date: [unreleased]
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp
Features: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz TLS-SRP HTTP2 UnixSockets HTTPS-proxy
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
20.12.2019, 06:11
    #39905898
AziAd
AziAd
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
Scott Tiger, результат:
Код: sql
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
# curl -v --cacert kz.pem 'https://stat.gov.kz'
* About to connect() to stat.gov.kz port 443 (#0)
*   Trying 93.185.74.116...
* Connected to stat.gov.kz (93.185.74.116) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: kz.pem
  CApath: none
* NSS error -5961 (PR_CONNECT_RESET_ERROR)
* TCP connection reset by peer
* Closing connection 0
curl: (35) TCP connection reset by peer



Поднял на своем компе виртуалку с идентичной системой, там все работает.

Пришел к выводу, что stat.gov.kz заблочили мою подсеть. Но, что интересно, коннект то проходит, а когда идет проверка сертификатов происходит затык. Даже по telnet stat.gov.kz 443 проваливается успешно. Блокируют на каком-то прикладном уровне? безысходность какая-то..

Как можно точно в этом убедиться? Пробовал curl, wget, openssl --connect.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
20.12.2019, 06:24
    #39905901
crutchmaster
crutchmaster
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
>curl -X GET -v -k -i 'https://stat.gov.kz'
...
HTTP/1.1 200 OK
...

УМВР. Use vpn.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
20.12.2019, 13:38
    #39906113
Scott Tiger
Scott Tiger
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Нет соединения с веб-сервером по HTTPS
AziAd, проще всего связаться с webmaster@ , думаю.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Нет соединения с веб-сервером по HTTPS / 10 сообщений из 10, страница 1 из 1
Целевая тема:
Создать новую тему:
Автор:
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
созд. / загр.: 405ms
Закрыть
start [/forum/topic.php?fid=25&mobile=1&tid=1481078]:
 0ms
get settings:
 10ms
get forum list:
 10ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 42ms
get topic data:
 12ms
get forum data:
 3ms
get page messages:
 45ms
get tp. blocked users:
 2ms
others: 275ms
total:  405ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]