OpenSSL: SessionTicket TLS-Erweiterung Problem

Question

Ich verwende eine Anwendung, die für die Client-TLS Seite OpenSSL verwendet. Wir aktualisieren die OpenSSL-Version von 0.9.8e zu 0.9.8k. Und dann TLS funktioniert nicht ...

Wireshark zeigt, dass die neue Version (mit OpenSSL 0.9.8k) sendet das Client-Hallo-Paket mit einer SessionTicket Erweiterung -. Und die Server-Seite antwortet mit einem fatalen internen Fehler

Die vorherige Version sendet ein fast identisches hallo Paket, aber ohne die SessionTicket ext.

Wenn ich TLSv1_client_method mit SSLv23_client_method ersetzt, alles hat gut funktioniert - das abgeschickt Client-Hallo-Paket war ein SSLv2 eines (Im Sniffer) ohne Erweiterung

(da es nicht TLS war aber SSL?)

Gibt es einen besseren Weg, um diese Erweiterung zu deaktivieren oder das Problem auf andere Art und Weise zu lösen?

Vielen Dank im Voraus, rursw1

Answer 1

Zitat von RFC 5077: „Beachten Sie, dass die Codierung eines leeren SessionTicket Verlängerung war    mehrdeutig in RFC 4507 RFC 4507 Eine Implementierung codiert haben    es wie:

    00 23      Extension type 35
    00 02      Length of extension contents
    00 00      Length of ticket

oder hat es die gleiche Art und Weise wie dieses Update codiert:

    00 23      Extension type 35
    00 00      Length of extension contents

Ein Server wollen RFC 4507-Clients zu unterstützen, sollten auf eine antworten    leere SessionTicket Erweiterung codiert, um die gleiche Art und Weise, wie sie es erhalten. „ So den Server arbeitete ich mit Stützen RFC 4507 und nicht die neueren 5077.

es Entfernen von 'normal' mit SSL_CTX_set_options mit SSL_OP_NO_TICKET das Problem gelöst.

hoffen, dass dies jemand helfen ...

EDIT: Nun, kann dies auch -no-tlsext mit der Konfiguration Flagge erfolgen. (Bei der Ausführung des Perl-Configure-Skript). Aber achten, dass in OpenSSL 0.9.8n und OpenSSL 1.0.0, müssen Sie einige Teile des Quellcodes kommentieren oder es wird nicht kompilieren - als sichere Neuverhandlung (die selbst unsicher angesehen wird) erfordert es.