Поскольку я ограничил свои шифры ECDHE из-за уязвимостей Logjam, я больше не могу выполнять скручивание с машины Centos. (работает с Ubuntu)
$ curl -v https://mysite.mydomain.com
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none
* NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP)
* Cannot communicate securely with peer: no common encryption algorithm(s).
Открытие с помощью openssl работает:
$ openssl s_client -connect mysite.mydomain.com:443
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Я пробовал использовать явный шифр, --insecure и --tlsv1.2, не повезло
$ curl --ciphers TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 -v https://mysite.mydomain.com
curl: (59) Unknown cipher in list: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Изменить: пробовал с правильным именем шифра NSS и менее 384 бит:
curl --ciphers ecdhe_rsa_aes_128_sha_256 https://mysite.mydomain.com
* Connected to xxx (xxx) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* Unknown cipher in list: ecdhe_rsa_aes_128_sha_256
* Closing connection 0
curl: (59) Unknown cipher in list: ecdhe_rsa_aes_128_sha_256
Нашел эту ошибку https://bugzilla.redhat.com/show_bug.cgi?id=1185708 но мне это не помогает.
SSLLabs сообщает, что эти шифры поддерживаются:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH 256 bits (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH 256 bits (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH 256 bits (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH 256 bits (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH 256 bits (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH 256 bits (eq. 3072 bits RSA) FS 128
RHEL / CentOS не включает ECC по умолчанию в NSS. Вы должны явно указать, какие шифры вы хотите, например
curl --ciphers ecdhe_rsa_aes_128_gcm_sha_256 ....
или любой другой шифр, который поддерживается вашим сервером, а также вашей версией curl / NSS.
Видеть https://stackoverflow.com/a/31108631/3081018 Больше подробностей.
Я пробовал использовать явный шифр, --insecure и --tlsv1.2, не повезло
Эта проблема не связана с проверкой сертификата, поэтому --insecure не поможет.
curl --ciphers TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Имена шифров в NSS и OpenSSL различаются, и поскольку вы используете curl с серверной частью NSS, вы должны использовать синтаксис NSS. Видеть https://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.html#Directives о том, как должны быть указаны шифры.
Кроме того, поддержка ECC с NSS доступна только с версии curl 7.36.