Discussion:
Keine SSL Verbindung zu news.eternal-september.org
(zu alt für eine Antwort)
Wolfgang Bauer
2022-06-25 17:00:53 UTC
Permalink
Grüß euch.

Seit Heutevormittag bekomme ich keine SSL Verbindung zu
news.eternal-september.org Port 563. Fehlermeldung ist

18:56:47 ERR {20a0} OpenSSL error: SSL_connect: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure
18:56:47 WAR {20a0} SSL connection failed
18:56:47 ERR {20a0} Fehler beim Verbinden mit news.eternal-september.org:
18:56:47 ERR {20a0} Exception[Exception] Error starting SSL
18:56:47 WAR {20a0} Verbindungsversuch mit news.eternal-september.org gescheitert!

Ist das nur bei mir so?

Freundliche Grüße
Wolfgang
--
Das unsympathische an Computern ist,
daß sie nur ja oder nein sagen können,
aber nicht vielleicht.
Brigitte Bardot
Marcel Logen
2022-06-25 17:34:09 UTC
Permalink
Post by Wolfgang Bauer
Seit Heutevormittag bekomme ich keine SSL Verbindung zu
news.eternal-september.org Port 563. Fehlermeldung ist
18:56:47 ERR {20a0} OpenSSL error: SSL_connect: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure
[...]
Post by Wolfgang Bauer
Ist das nur bei mir so?
Bei mir (mit LibreSSL) geht es mit TLSv1.2: Der Server redet mit
mir, ich kann aber nicht posten, weil ich keinen Account dort habe.

| t20$ openssl s_client -connect news.eternal-september.org:563 -ign_eof -crlf
| CONNECTED(00000003)
| depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
| verify return:1
[...]
| Server Temp Key: ECDH, P-256, 256 bits
| ---
| SSL handshake has read 4778 bytes and written 448 bytes
| ---
| New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
| Server public key is 2048 bit
| Secure Renegotiation IS supported
| Compression: NONE
| Expansion: NONE
| No ALPN negotiated
| SSL-Session:
| Protocol : TLSv1.2
| Cipher : ECDHE-RSA-AES256-GCM-SHA384
[...]
| Start Time: 1656177263
| Timeout : 7200 (sec)
| Verify return code: 0 (ok)
| ---
| 200 reader02.eternal-september.org InterNetNews NNRP server INN 2.7.0 (20220504 snapshot) ready (posting ok)
| date
| 111 20220625171426
| psot
| 500 What?
| post
| 340 Ok, recommended Message-ID <t97fpm$ts2$***@anonymous.dont-email.me>
| From: 333200007110-***@ybtra.de
| Subject: ignore 37687.65
| Newsgroups: de.test
| Organization: Bureau Logen Bonn Germany
|
| E-S über OpenSSL
| --
| <news:***@wolfgang-bauer.at>
| .
| 441 You are not allowed to post to de.test
| QUIT
| 205 Bye!
| closed

Wenn ich es mit TLSv1.3 versuche, geht es nicht:

| t20$ openssl s_client -connect news.eternal-september.org:563 -ign_eof -crlf -tls1_3
| CONNECTED(00000003)
| 16306805241248:error:14004410:SSL routines:CONNECT_CR_SRVR_HELLO:sslv3 alert handshake failure:/usr/src/lib/libssl/tls13_lib.c:129:SSL alert number 40

Da kommt dann auch der "sslv3 alert handshake failure".

Hast Du etwas an Deiner TLS-Konfiguration verändert?

Marcel ljdk (708020)
--
untrusted comment: verify with signify-key.pub
RWRtFSfgVKrGOJP6NyjVVcFvMccFYF25PopNoM/q92ph4Ynlwf+EELiBX+8unHExV8117EBKV+Fjur2cTCdoNshh3V2TaBO0NwA=
untrusted comment: signify public key
RWRtFSfgVKrGOIyQbZdQrLAC/v0O5KEkhkfdcs/Op5KUrQHmly7WugHG
Wolfgang Bauer
2022-06-25 18:26:37 UTC
Permalink
Post by Marcel Logen
| t20$ openssl s_client -connect news.eternal-september.org:563 -ign_eof -crlf -tls1_3
| CONNECTED(00000003)
| 16306805241248:error:14004410:SSL routines:CONNECT_CR_SRVR_HELLO:sslv3 alert handshake failure:/usr/src/lib/libssl/tls13_lib.c:129:SSL alert number 40
Da kommt dann auch der "sslv3 alert handshake failure".
Hast Du etwas an Deiner TLS-Konfiguration verändert?
Marcel ljdk (708020)
Ich habe nichts geändert. SSL/TLS auf separatem Port 563 TLSv1.2 ging
Gestern noch. Auch mit SSLv3 funktioniert nicht. Mal auf Morgen warten,
vielleicht hat der Server etwas umgestellt.

Freundliche Grüße
Wolfgang
--
Dass mir mein Hund das Liebste sei, sagst du oh Mensch sei Sünde,
mein Hund ist mir im Sturme treu, der Mensch nicht mal im Winde.
Franz von Assisi
Ray Banana
2022-06-26 11:07:08 UTC
Permalink
Post by Wolfgang Bauer
Ich habe nichts geändert. SSL/TLS auf separatem Port 563 TLSv1.2 ging
Gestern noch. Auch mit SSLv3 funktioniert nicht. Mal auf Morgen warten,
vielleicht hat der Server etwas umgestellt.
Heute Nacht habe ich zwar den Server auf eine neue Hardware und ein
neues Betriebssystem (RHEL8) umgestellt, an den unterstützten
Protokollen hat sich dadurch aber nichts geändert
(SSLv3 ging auch vorher nicht mehr). Da sich aber der Servername (nicht
der Alias) geändert hat, wurde auch ein neues Zertifikat nötig.
Braucht dein Hamster wieder eine persönliche Einladung, das neue
Zertifikat zu akzeptieren?
--
Too many ingredients in the soup, no room for a spoon
http://www.eternal-september.org
Wolfgang Bauer
2022-06-26 11:30:05 UTC
Permalink
Post by Ray Banana
Post by Wolfgang Bauer
Ich habe nichts geändert. SSL/TLS auf separatem Port 563 TLSv1.2 ging
Gestern noch. Auch mit SSLv3 funktioniert nicht. Mal auf Morgen warten,
vielleicht hat der Server etwas umgestellt.
Heute Nacht habe ich zwar den Server auf eine neue Hardware und ein
neues Betriebssystem (RHEL8) umgestellt, an den unterstützten
Protokollen hat sich dadurch aber nichts geändert
(SSLv3 ging auch vorher nicht mehr). Da sich aber der Servername (nicht
der Alias) geändert hat, wurde auch ein neues Zertifikat nötig.
Braucht dein Hamster wieder eine persönliche Einladung, das neue
Zertifikat zu akzeptieren?
Mit
Nutzungsart: STARTTLS erzwingen
SSL-Method: Erzwinge: SSLv3
habe ich jetzt eine verschlüsselte Verbindung.

Freundliche Grüße
Wolfgang
--
Charlie Chaplin blickte Albert Einstein einst an,
schmunzelte und sagte: "Mir wird applaudiert, weil mich jeder versteht.
Ihnen wird applaudiert, weil Sie niemand versteht."
Marco Moock
2022-06-26 18:23:54 UTC
Permalink
Post by Wolfgang Bauer
Nutzungsart: STARTTLS erzwingen
SSL-Method: Erzwinge: SSLv3
habe ich jetzt eine verschlüsselte Verbindung.
Das ist komisch, wenn SSLv3 gar nicht beim Server aktiv ist (sollte es
auch nicht, ist bockalt).
Kann dein Newsreader kein TLS 1.3?
Wolfgang Bauer
2022-06-27 13:21:08 UTC
Permalink
Post by Marco Moock
Post by Wolfgang Bauer
Nutzungsart: STARTTLS erzwingen
SSL-Method: Erzwinge: SSLv3
habe ich jetzt eine verschlüsselte Verbindung.
Das ist komisch, wenn SSLv3 gar nicht beim Server aktiv ist (sollte es
auch nicht, ist bockalt).
Kann dein Newsreader kein TLS 1.3?
Port: 119
Keine SSL/TLS Nutzung

Nun sagt mir der Hamster
15:00:36 WAR {10d8} Verbindung zu news.eternal-september.org (Port 119)
nicht möglich, Fehlermeldung: "400 load at 17.11, try later"

Freundliche Grüße
Wolfgang
--
Würde man Menschen mit Katzen kreuzen,
würde dies die Menschen veredeln aber die Katzen herabsetzen.
Mark Twain
Marco Moock
2022-06-27 19:29:38 UTC
Permalink
Post by Wolfgang Bauer
15:00:36 WAR {10d8} Verbindung zu news.eternal-september.org (Port
119) nicht möglich, Fehlermeldung: "400 load at 17.11, try later"
If the server has to terminate the connection for some reason, it
MUST give a 400 response code to the next command and then
immediately close the connection. Following a 400 response, clients
SHOULD NOT simply reconnect immediately and retry the same actions.
Rather, a client SHOULD either use an exponentially increasing delay
between retries (e.g., double the waiting time after each 400
https://datatracker.ietf.org/doc/html/rfc3977

Kurz gesagt: Das Ding war zum Zeitpunkt überlastet.

Erklärung zur Zahl:
https://kb.paessler.com/en/topic/43993-what-is-the-load-on-linux-systems
Wolfgang Bauer
2022-06-28 09:18:07 UTC
Permalink
Post by Wolfgang Bauer
Ich habe nichts geändert. SSL/TLS auf separatem Port 563 TLSv1.2 ging
Gestern noch. Auch mit SSLv3 funktioniert nicht. Mal auf Morgen warten,
vielleicht hat der Server etwas umgestellt.
Da sich aber der Servername (nicht der Alias) geändert hat, wurde auch
ein neues Zertifikat nötig. Braucht dein Hamster wieder eine
persönliche Einladung, das neue Zertifikat zu akzeptieren?
Verstehe ich das richtig, der Servername, news.eternal-september.org,
hat sich geändert?
Bis vor zwei Tagen habe ich im Hamster nichts besonderes einstellen
müssen. Und mit eben diesen Einstellungen im Hamster,
Server-Port: 563
TLSv1.2
Keine Überprüfung,
funktioniert die Verbindung mit news.individual.de

Freundliche Grüße
Wolfgang
--
"Sie haben die Arbeitsmoral einer Katze!", brüllt der Chef.
"Wie kommen Sie denn darauf?"
"Das fragen Sie noch? Sie schleichen jeden Tag ins Büro,
legen die Pfoten auf den Tisch und warten auf Ihre Mäuse!"
Marco Moock
2022-06-28 17:17:56 UTC
Permalink
Post by Wolfgang Bauer
Verstehe ich das richtig, der Servername, news.eternal-september.org,
hat sich geändert?
Nein, aber vermutlich dessen CNAME-Record im DNS.

news.eternal-september.org. 86400 IN CNAME reader01.eternal-september.org.

Mein Gedächtnis sagt mir, das wäre reader02 gewesen.
Wolfgang Bauer
2022-06-28 17:49:33 UTC
Permalink
@Absender:Marco Moock
Post by Marco Moock
Post by Wolfgang Bauer
Verstehe ich das richtig, der Servername, news.eternal-september.org,
hat sich geändert?
Nein, aber vermutlich dessen CNAME-Record im DNS.
news.eternal-september.org. 86400 IN CNAME reader01.eternal-september.org.
Mein Gedächtnis sagt mir, das wäre reader02 gewesen.
Und was bedeutet das für mich, muss ich die Zugangsdaten ändern?

Freundliche Grüße
Wolfgang
--
Signatur kommt über KN
Thomas Hochstein
2022-06-28 19:40:45 UTC
Permalink
Post by Wolfgang Bauer
@Absender:Marco Moock
Post by Marco Moock
Post by Wolfgang Bauer
Verstehe ich das richtig, der Servername, news.eternal-september.org,
hat sich geändert?
Nein, aber vermutlich dessen CNAME-Record im DNS.
news.eternal-september.org. 86400 IN CNAME reader01.eternal-september.org.
Mein Gedächtnis sagt mir, das wäre reader02 gewesen.
Und was bedeutet das für mich, muss ich die Zugangsdaten ändern?
Ja. Du tauschst einfach Benutzername und Passwort aus, dann müsste es
wieder gehen.
Marco Moock
2022-06-29 18:52:02 UTC
Permalink
Post by Thomas Hochstein
Post by Wolfgang Bauer
Und was bedeutet das für mich, muss ich die Zugangsdaten ändern?
Ja. Du tauschst einfach Benutzername und Passwort aus, dann müsste es
wieder gehen.
Erkläre mir bitte, was du damit meinst, ich halte das für Blödsinn.
Henning Hucke
2022-06-30 06:21:47 UTC
Permalink
Post by Marco Moock
Post by Thomas Hochstein
Post by Wolfgang Bauer
Und was bedeutet das für mich, muss ich die Zugangsdaten ändern?
Ja. Du tauschst einfach Benutzername und Passwort aus, dann müsste es
wieder gehen.
Erkläre mir bitte, was du damit meinst, ich halte das für Blödsinn.
Anrufer: "Mein Monitor funktioniert nicht! Ich habe ihn heute Morgen
angeschaltet und er hat seitdem funktioniert. Jetzt zeigt er permanent
ein schwarzes Bild. Was kann ich tun?"
Support: "Schalten Sie bitte mal den Bildschirm aus."
Anrufer: "Oh, jetzt geht er wieder. Danke."

MfG Henning
--
In theory there is no difference between theory and practise.
In practise there is.
Yogi Beer
Thomas Hochstein
2022-07-02 09:59:21 UTC
Permalink
Post by Marco Moock
Erkläre mir bitte, was du damit meinst, ich halte das für Blödsinn.
Auf ersichtlich sinnlose Fragen sind nur ersichtlich sinnlose Antworten
sinnvoll.
Laurenz Trossel
2022-07-02 10:36:19 UTC
Permalink
Post by Thomas Hochstein
Auf ersichtlich sinnlose Fragen sind nur ersichtlich sinnlose Antworten
sinnvoll.
Einfach mal die Finger stillhalten. Du musst nicht auf alles antworten.
Aber dann würden ja die Trafficzahlen sinken. Das willst du natürlich auch nicht.
Marco Moock
2022-07-02 10:43:39 UTC
Permalink
Post by Thomas Hochstein
Auf ersichtlich sinnlose Fragen sind nur ersichtlich sinnlose
Antworten sinnvoll.
Du könntest auch aufhören, derart komische Sachen in einer
Technik-Newsgroup zu posten, würde einiges an Verwirrung verhindern.
Thomas Hochstein
2022-07-02 11:59:21 UTC
Permalink
Post by Marco Moock
Du könntest auch aufhören, derart komische Sachen in einer
Technik-Newsgroup zu posten, würde einiges an Verwirrung verhindern.
Ich weiß nicht, ob man sich mit Technik beschäftigen sollte, wenn man
leicht zu verwirren ist ...
Marco Moock
2022-07-02 12:10:32 UTC
Permalink
Post by Thomas Hochstein
Ich weiß nicht, ob man sich mit Technik beschäftigen sollte, wenn man
leicht zu verwirren ist ...
Ja, ich tue das, aber deine Ironie oder was das sonst sein soll nervt
hier einfach.

Das hier war dein Post, den ich völlig komisch fand.
Post by Thomas Hochstein
Post by Wolfgang Bauer
Und was bedeutet das für mich, muss ich die Zugangsdaten ändern?
Ja. Du tauschst einfach Benutzername und Passwort aus, dann müsste es
wieder gehen.
Keine Ahnung, was du damit bezwecken wolltest.
Thomas Hochstein
2022-07-02 12:20:25 UTC
Permalink
Post by Marco Moock
Post by Thomas Hochstein
Post by Wolfgang Bauer
Und was bedeutet das für mich, muss ich die Zugangsdaten ändern?
Ja. Du tauschst einfach Benutzername und Passwort aus, dann müsste es
wieder gehen.
Keine Ahnung, was du damit bezwecken wolltest.
Auf ersichtlich sinnlose Fragen sind nur ersichtlich sinnlose Antworten
sinnvoll.
Marco Moock
2022-07-02 15:18:52 UTC
Permalink
Post by Thomas Hochstein
Auf ersichtlich sinnlose Fragen sind nur ersichtlich sinnlose
Antworten sinnvoll.
Und warum, willst du die NG zumüllen, wie ich es mal mit einem Troll
gemacht habe?

Marco Moock
2022-06-25 19:22:54 UTC
Permalink
Post by Wolfgang Bauer
18:56:47 ERR {20a0} OpenSSL error: SSL_connect: error:14094410:SSL
routines:ssl3_read_bytes:sslv3 alert handshake failure
SSL3 ist auch bockalt. Man sollte heute TLS 1.2 oder 1.3 nutzen.
Bei mir in Claws-Mail klappt alles (teste es mal da).

Teste mal
ncat --ssl news.eternal-september.org 563
Marco Moock
2022-06-25 19:27:56 UTC
Permalink
Post by Marco Moock
Post by Wolfgang Bauer
18:56:47 ERR {20a0} OpenSSL error: SSL_connect: error:14094410:SSL
routines:ssl3_read_bytes:sslv3 alert handshake failure
SSL3 ist auch bockalt. Man sollte heute TLS 1.2 oder 1.3 nutzen.
Bei mir in Claws-Mail klappt alles (teste es mal da).
Teste mal
ncat --ssl news.eternal-september.org 563
Man kann auch gut openssl zum Testen nutzen.

openssl s_client -connect news.eternal-september.org:563 -tls1
Statt -tls1 geht auch -ssl3, aber nicht bei mir, das ist da schon nicht
mehr verfügbar. Daher bitte so mal testen und ggf. aktuelle Software
nutzen.
Matthias Andree
2022-06-28 19:16:29 UTC
Permalink
Post by Marco Moock
Post by Marco Moock
Post by Wolfgang Bauer
18:56:47 ERR {20a0} OpenSSL error: SSL_connect: error:14094410:SSL
routines:ssl3_read_bytes:sslv3 alert handshake failure
SSL3 ist auch bockalt. Man sollte heute TLS 1.2 oder 1.3 nutzen.
Bei mir in Claws-Mail klappt alles (teste es mal da).
Teste mal
ncat --ssl news.eternal-september.org 563
hier fehlt --ssl-verify
Post by Marco Moock
Man kann auch gut openssl zum Testen nutzen.
openssl s_client -connect news.eternal-september.org:563 -tls1
Statt -tls1 geht auch -ssl3, aber nicht bei mir, das ist da schon nicht
mehr verfügbar. Daher bitte so mal testen und ggf. aktuelle Software
nutzen.
Kinners, könnt Ihr mal den alten Kram lassen und s_client *richtig*
benutzen? Mit -tls1_3 oder -tls1_2 oder so?

Der Server schnackt TLS 1.2 und 1.3, da gehört weder SSL 3.0 noch 3.1
alias TLS 1.0 noch TLS 1.1 hin. Beim s_client gehört auch mit -CAfile
oder -CApath der Trust-Anchor gezielt geworfen.
Post by Marco Moock
- subject `CN=DST Root CA X3,O=Digital Signature Trust Co.', issuer `CN=DST Root CA X3,O=Digital Signature Trust Co.', serial 0x44afb080d6a327ba893039862ef8406b, RSA key 2048 bits, signed using RSA-SHA1 (broken!), activated `2000-09-30 21:12:19 UTC', expires `2021-09-30 14:01:15 UTC', pin-sha256="Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys="
- Status: The certificate is trusted.
Wie jetzt - das CA-Zeritifikat ist "broken" (weil SHA1) *UND* abgelaufen
und gnutls-cli macht weiter? Was ist das denn für Grütze? Was hab ich
verpasst?

Nicht, dass das in openSSL 3.0 anders aussähe...
Post by Marco Moock
3 s:O = Digital Signature Trust Co., CN = DST Root CA X3
i:O = Digital Signature Trust Co., CN = DST Root CA X3
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA1
v:NotBefore: Sep 30 21:12:19 2000 GMT; NotAfter: Sep 30 14:01:15 2021 GMT
🙈
Marcel Logen
2022-06-28 22:01:30 UTC
Permalink
Post by Matthias Andree
Kinners, könnt Ihr mal den alten Kram lassen und s_client *richtig*
benutzen? Mit -tls1_3 oder -tls1_2 oder so?
Der Server schnackt TLS 1.2 und 1.3, da gehört weder SSL 3.0 noch 3.1
alias TLS 1.0 noch TLS 1.1 hin. Beim s_client gehört auch mit -CAfile
oder -CApath der Trust-Anchor gezielt geworfen.
Kann man machen, aber i. allg. kommt der Anker doch aus den system-
weiten Einstellungen. Oder täusche ich mich da?
Post by Matthias Andree
Wie jetzt - das CA-Zeritifikat ist "broken" (weil SHA1) *UND*
abgelaufen und gnutls-cli macht weiter? Was ist das denn für Grütze?
Was hab ich verpasst?
Nicht, dass das in openSSL 3.0 anders aussähe...
Post by Marco Moock
3 s:O = Digital Signature Trust Co., CN = DST Root CA X3
i:O = Digital Signature Trust Co., CN = DST Root CA X3
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA1
v:NotBefore: Sep 30 21:12:19 2000 GMT; NotAfter: Sep 30 14:01:15 2021 GMT
Hier mit LibreSSL/3.5.2:

| t20$ openssl s_client -connect news.eternal-september.org:563 -ign_eof -crlf -tls1_3 -showcerts
| CONNECTED(00000003)
| depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
| verify return:1
| depth=1 C = US, O = Let's Encrypt, CN = R3
| verify return:1
| depth=0 CN = news.eternal-september.org
| verify return:1
| ---
| Certificate chain
| 0 s:/CN=news.eternal-september.org
| i:/C=US/O=Let's Encrypt/CN=R3
[...]

Das im September 2021 abgelaufene "DST Root CA X3" wird für die
Verifizierung nicht beachtet, da das "ISRG Root X1" als Anker
dient: "CA:TRUE". (Das "ISRG Root X1" gibt es als "self-signed"
und als "cross-signed".)

<https://letsencrypt.org/certificates/>

Warum das "DST" von "Let's Encrypt" (?) immer noch mit ausgeliefert
wird, ist mir nicht ganz klar. Vielleicht irgendwelche Kompatibili-
tätsgründe?

| t20$ printf '%s\n' 'QUIT' | openssl s_client -connect news.eternal-september.org:563 -ign_eof -crlf -tls1_3 -showcerts

Da kopiere ich mir die Zertifikate "0" und "1" heraus, und dann:

| t20$ openssl verify -verbose -x509_strict -untrusted 1.pem 0.pem
| 0.pem: OK
| t20$

Das sieht doch in Ordnung aus. (Der Anker - "ISRG Root X1" -
kommt dabei aus meinen systemweiten (OpenBSD) Zertifikaten
unter "/etc/ssl/cert.pem".)

Explizite Angabe von -CAfile (das Zert. habe ich von der Website
von "Let's Encrypt" geholt):

| t20$ openssl verify -verbose -CAfile isrgrootx1.pem -x509_strict -untrusted 1.pem 0.pem
| 0.pem: OK
| t20$

Gegenprobe mit "DST":

| t20$ openssl verify -verbose -CAfile dst.pem -x509_strict -untrusted 1-und-isrg-cross.pem 0.pem
| O = Digital Signature Trust Co., CN = DST Root CA X3
| error 10 at 3 depth lookup:certificate has expired
| 0.pem: verification failed: 10 (certificate has expired)
| t20$

Marcel pn65 (842949)
--
│ ╭─╮ ╭───╮ ╭───────╮ ╭──╮ ╭─╮ ╭────╮
╰───╯ │ ╭─╮ ╰─╮ ╰───╯ ╰─╮ ╭─╯ ╰─╮ │ ╰─╮ │ ╭─╯
╰─╯ ╰────╯ ╭────╯ │ ╭───╯ │ │ │ ╰───╮ ╭─╮
╰────────╯ ╰─────╯ ╰──╯2776aa╰─────────╯ ╰─
Wolfgang Bauer
2022-06-26 09:32:34 UTC
Permalink
Post by Marco Moock
Post by Wolfgang Bauer
18:56:47 ERR {20a0} OpenSSL error: SSL_connect: error:14094410:SSL
routines:ssl3_read_bytes:sslv3 alert handshake failure
SSL3 ist auch bockalt. Man sollte heute TLS 1.2 oder 1.3 nutzen.
Bei mir in Claws-Mail klappt alles (teste es mal da).
Es geht mit
Nutzungsart: STARTTLS erzwingen
SSL-Method: Erzwinge: SSLv3
Post by Marco Moock
Teste mal
ncat --ssl news.eternal-september.org 563
C:\Users\Wolfgang>ncat --ssl news.eternal-september.org 563
Der Befehl "ncat" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

Freundliche Grüße
Wolfgang
--
Der Horizont der meisten Menschen ist ein Kreis mit dem Radius 0.
Und das nennen sie ihren Standpunkt.
Albert Einstein
Diedrich Ehlerding
2022-06-26 10:29:20 UTC
Permalink
Post by Wolfgang Bauer
C:\Users\Wolfgang>ncat --ssl news.eternal-september.org 563
Der Befehl "ncat" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
Da deine Kristallgoogle ja defekt zu sein scheint, habe ich mal auf
meine Ganzdiefduckente gehört, die flüstert mit zu:
<https://nmap.org/ncat/>
Post by Wolfgang Bauer
Freundliche Grüße
Wolfgang
--
gpg-Key (DSA 1024) D36AD663E6DB91A4
fingerprint = 2983 4D54 E00B 8483 B5B8 C7D1 D36A D663 E6DB 91A4
HTML-Mail wird ungeleſen entſorgt.
Marco Moock
2022-06-26 18:40:06 UTC
Permalink
Post by Wolfgang Bauer
Der Befehl "ncat" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
Geht nur unter Linux oder mit WSL in Windows.
Matthias Andree
2022-06-28 19:17:35 UTC
Permalink
Post by Wolfgang Bauer
Post by Marco Moock
Post by Wolfgang Bauer
18:56:47 ERR {20a0} OpenSSL error: SSL_connect: error:14094410:SSL
routines:ssl3_read_bytes:sslv3 alert handshake failure
SSL3 ist auch bockalt. Man sollte heute TLS 1.2 oder 1.3 nutzen.
Bei mir in Claws-Mail klappt alles (teste es mal da).
Es geht mit
Nutzungsart: STARTTLS erzwingen
SSL-Method: Erzwinge: SSLv3
Bis der alte Schrott (SSLv3) serverseitig mal abgeschaltet wird, dann
stehst wieder da...
Marco Moock
2022-06-29 18:54:17 UTC
Permalink
Post by Matthias Andree
Bis der alte Schrott (SSLv3) serverseitig mal abgeschaltet wird, dann
stehst wieder da...
Oder clientseitig, so manches OS (Ubuntu 22.04) kann schon kein SSL 3
mehr.

Aber der TO nutzt ja einen Uralt-Newsreader, der seit JAHREN EoL ist.
Laurenz Trossel
2022-06-29 19:13:05 UTC
Permalink
Post by Marco Moock
Oder clientseitig, so manches OS (Ubuntu 22.04) kann schon kein SSL 3
mehr.
Es ist leider nicht hilfreich, daß einige SSL-Libraries überall SSLv3
schreiben, auch wenn es eine TLS1.3-Verbindung ist.

<***@t20.ybtra.de>:

| New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
| SSL-Session:
| Protocol : TLSv1.2

| sslv3 alert handshake failure:/usr/src/lib/libssl/tls13_lib.c
^^^^^ ^^^^^
Lesen Sie weiter auf narkive:
Loading...