Impossible de miser depuis github, erreur de négociation sslv3

10

Nous avons un script qui télécharge la sécurité du mod depuis github qui a récemment commencé à échouer. Les serveurs exécutent CentOS 6 mais RHEL 6 a probablement le même problème. La sortie est:

# wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
--2014-07-22 18:49:46--  https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving github.com... 192.30.252.129
Connecting to github.com|192.30.252.129|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz [following]
--2014-07-22 18:49:47--  https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving cloud.github.com... 54.230.99.219, 205.251.219.190, 54.230.97.212, ...
Connecting to cloud.github.com|54.230.99.219|:443... connected.
OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Unable to establish SSL connection.

Des idées sur la façon de résoudre ou de contourner ce problème?

centos wget github

— Kristofer
source

2

utiliser une autre application, par exemplecurl

— Rabin

1

Pour être plus précis, 54.230.99.219 et plusieurs A (différents) que j'obtiens pour cloud.github.com donnent un échec de prise de contact à s_client sans option pour ServerNameIndication. serverfault.com/questions/560053/… dit (il y a plusieurs mois) RedHat wget ne fait pas SNI mais curl le fait.

— dave_thompson_085

Vous vous sentez chanceux d'accepter ma réponse

— Anton Dozortsev

Eh bien, pour être honnête, je préférerais que @ dave_thompson_085 ou Rabin publie leurs commentaires comme réponses, car je vois que c'est plus une solution à long terme même si votre solution de contournement fonctionne également très bien!

— Kristofer

2

Si je ne me trompe pas, vous voulez dire ce repo . Essayez d'obtenir des versions de formulaire URL .

Ce cas fonctionne pour moi:

$ wget https://github.com/SpiderLabs/ModSecurity/archive/v2.8.0.tar.gz

PS J'ai également le même message d'erreur lorsque vous essayez d'exécuter votre cas;

$ wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

— Anton Dozortsev
source

Hmm, cette URL n'a pas de md5 cependant :(

— Kristofer

raw.githubusercontent.com/$ {USER} / $ {REPO} /path/to/file.tar.gz

— Maksim Kostromin

10

Vous pouvez utiliser la curlcommande pour le télécharger:

curl -LO https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

— Rajesh Gupta
source

5

curl -L -Oest un meilleur remplacement wgetcar il suit les redirections HTTP (particulièrement utile ici car Github veut me pointer vers son CDN).

— étranges caractéristiques

De plus, une chose que j'ai rencontrée avec les versions de CentOS 6.5 est la prise en curlcharge de SNI et wgetnon, donc pour certains sites wget, le certificat du mauvais hôte sera parfois servi et un échec de certificat, même si cela curlfonctionne bien.

— rakslice

7

Le côté serveur a désactivé la négociation du chiffrement SSLv3, en raison de graves problèmes de sécurité SSLv3. De plus, votre client wget est une version obsolète et utilise toujours par défaut ce cryptage SSLv3. Vous avez 2 options:

utilisez --secure-protocol = indicateur TLSv1 devant wget. wget --secure-protocol=TLSv1
installer une version mise à jour de wget qui utilise comme protocole TLSv1 par défaut

— Vassilis Blazos
source

5

Vous devriez vérifier votre version wget.

J'ai eu le même problème avec les anciennes versions de wget(<1.15).

— Dan
source

2

Il semble que cela devrait être un commentaire contre la question et non une réponse.

— Danny Staple

0

En ce qui concerne la solution de contournement, si vous faites confiance à l'hôte, essayez de spécifier --no-check-certificateou d'ajouter:

check_certificate = off

dans votre ~/.wgetrc(non recommandé).

Dans de rares cas, cela est dû à l'heure de votre système qui peut être désynchronisée, invalidant ainsi les certificats qui fonctionnaient auparavant.

— Kenorb
source