Errores SSL de correo tras la actualización a 2.4.0.beta4

Zyniker · 19 Septiembre, 2019 07:23

Desde la actualización a 2.4.0.beta4, ninguna de mis instalaciones que utilizan Rackspace para el correo saliente ha podido enviar correo saliente. Dado que el servidor de correo saliente es, nuevamente, Rackspace, presumo que sus configuraciones SSL/TLS son correctas (y, en cualquier caso, parecen funcionar en todos los clientes de correo principales). Quizás este hilo esté relacionado.

Aunque, tras aplicar las actualizaciones recientes (no estoy seguro de cuál cambio en particular), el error ya no es el mismo que se menciona en el hilo antes mencionado, sino que ahora es este:

Jobs::HandledExceptionWrapper: Wrapped Net::ReadTimeout: Net::ReadTimeout con #\u003cTCPSocket:(closed)\u003e

Presumo que esto es un error.

Edición: Otro hilo relacionado

\u003csmall\u003e@Gerhard\u003c/small\u003e

gerhard · 20 Septiembre, 2019 12:16

¿Puedes intentar conectar con el servidor SMTP desde dentro del contenedor Docker?

SMTP con StartTLS (predeterminado, a menos que hayas modificado DISCOURSE_SMTP_ENABLE_START_TLS en app.yml):

openssl s_client -connect <hostname>:<port> -starttls smtp

SMTP

openssl s_client -connect <hostname>:<port>

Zyniker · 20 Septiembre, 2019 18:23

Con la bandera -starttls, simplemente devuelve “CONNECTED”. Sin -starttls:

root@omnifora-com-app:/var/www/discourse# openssl s_client -connect secure.emailsrvr.com:465
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = EssentialSSL, CN = secure.emailsrvr.com
verify return:1
139636332590208:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2156:
---
Cadena de certificados
 0 s:OU = Domain Control Validated, OU = EssentialSSL, CN = secure.emailsrvr.com
   i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
 1 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
   i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
 2 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
   i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
 3 s:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
   i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
---
Certificado del servidor
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=OU = Domain Control Validated, OU = EssentialSSL, CN = secure.emailsrvr.com

issuer=C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA

---
No se enviaron nombres de CA de certificado de cliente
---
El apretón de manos SSL ha leído 6414 bytes y escrito 319 bytes
Verificación: OK
---
Nuevo, (NONE), Cipher es (NONE)
La clave pública del servidor es de 2048 bits
Renegociación segura SÍ es compatible
Compresión: NONE
Expansión: NONE
No se negoció ALPN
Sesión SSL:
    Protocolo  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1569003408
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---

Zyniker · 26 Septiembre, 2019 20:18

Parece que el problema ha vuelto:

Jobs::HandledExceptionWrapper: Wrapped OpenSSL::SSL::SSLError: SSL_connect returned=1 errno=0 state=error: dh key too small

(Al menos en los últimos miles de fallos.)

También: ¡Feliz cumpleaños, @gerhard!

gerhard · 27 Septiembre, 2019 20:43

Ese error sugiere que el servidor SMTP está configurado incorrectamente y utiliza una clave DH que OpenSSL considera demasiado pequeña.

Zyniker · 27 Septiembre, 2019 20:57

Eso parece algo poco probable por parte de Rackspace, pero puedo intentar involucrar a uno de sus técnicos en esto.

gerhard · 27 Septiembre, 2019 21:05

Bueno, el error proviene de OpenSSL y, por lo que sé, estamos utilizando los valores predeterminados proporcionados por Debian / Ruby?

ssvenn · 30 Septiembre, 2019 06:00

Parece que la nueva versión de la imagen base incluye una versión de OpenSSL que finalmente ha deshabilitado los algoritmos de firma antiguos e inseguros.

Nuestra intranet corporativa cuenta con una CA de Windows antigua que utilizaba MD5, lo que rompió por completo HTTPS en mi instalación de Discourse tras la actualización. Nginx mostró el error “SSL_CTX_use_certificate:ca md too weak” y se negó a cargar el certificado HTTPS.

RHEL y CentOS tienen un mecanismo heredado para volver a activarlos, pero no pude encontrar una configuración de compatibilidad similar en Debian/Ubuntu:

github.com/kubernetes/ingress-nginx

TLS Certificate issue when using weak algorithm

opened 09:27PM - 17 Dec 18 UTC

closed 08:12PM - 18 Dec 18 UTC

diazjf

**Is this a BUG REPORT or FEATURE REQUEST?** (choose one): `BUG Report` **…NGINX Ingress controller version**: `quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.21.0` **Kubernetes version** (use `kubectl version`): ``` Client Version: version.Info{Major:"1", Minor:"12", GitVersion:"v1.12.0", GitCommit:"0ed33881dc4355495f623c6f22e7dd0b7632b7c0", GitTreeState:"clean", BuildDate:"2018-09-28T15:18:13Z", GoVersion:"go1.11", Compiler:"gc", Platform:"darwin/amd64"} Server Version: version.Info{Major:"1", Minor:"10", GitVersion:"v1.10.0", GitCommit:"fc32d2f3698e36b93322a3465f63a14e9f0eaead", GitTreeState:"clean", BuildDate:"2018-03-26T16:44:10Z", GoVersion:"go1.9.3", Compiler:"gc", Platform:"linux/amd64"} ``` **Environment**: `minikube version: v0.31.0` **What happened**: When generating TLS certificates(md5) and using them in ingress resource the following error is obtained: ``` Error: exit status 1 2018/12/17 20:46:06 [notice] 2008#2008: ModSecurity-nginx v1.0.0 2018/12/17 20:46:06 [emerg] 2008#2008: SSL_CTX_use_certificate("/etc/ingress-controller/ssl/default-tls-cert.pem") failed (SSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak) nginx: [emerg] SSL_CTX_use_certificate("/etc/ingress-controller/ssl/default-tls-cert.pem") failed (SSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak) nginx: configuration file /tmp/nginx-cfg487128183 test failed ``` **What you expected to happen**: The certificates should be configured properly. **How to reproduce it** (as minimally and precisely as possible): ``` $ openssl genrsa -out server.key 4096 $ openssl req -new -key server.key -out server.csr -subj "/CN=<your-CN>" $ openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt $ kubectl create secret generic tls-cert --from-file=tls.crt=server.crt --from-file=tls.key=server.key # Generate an Ingress Resource using the above secret for TLS # Send a Request and check logs ``` **Anything else we need to know**: This could be an issue when updating OpenSSL in the new build or a ModSecurity issue. I will need to see. Solutions include: In order to resolve this we can perform the following: ~~1. Don't load module: `load_module /etc/nginx/modules/ngx_http_modsecurity_module.so;` unless modsecurity is loaded in the configmap.~~ Confirmed not the issue, it just prints in the logs but is not used. ~~2. Allow `ssl_password_file` in to be set via annotation, however the file needs to be added via a secret.~~ more of a feature request. 3. Update Cert creation guide.

Estoy seguro de que más personas se encontrarán con esto debido a la cantidad de certificados antiguos e inseguros que circulan, pero probablemente no haya mucho que hacer al respecto más que reemplazar los certificados. Te sugiero que contactes directamente a Rackspace sobre el problema del correo.

codinghorror · 30 Septiembre, 2019 09:14

Esta es una pregunta para @gerhard

Zyniker · 1 Octubre, 2019 01:35

Estoy bastante seguro de que esto es un error. Pedí a un técnico de Rackspace que lo revisara y me proporcionó la siguiente información sobre su clave DH:

Aquí está la información públicamente disponible:

CA = Comodo Limited CA
Tamaño de la clave del certificado = 2048 bits
Nombre de dominio = mx1.emailsrvr.com y mx2.emailsrvr.com
Nombre del servidor de correo = secure.emailsrvr.com
Software del host de correo (identifique el software y la versión que se ejecuta en el MTA) =
ecelerity 2.2.3.49
Fuerza del cifrado = AES256-SHA

Debería pensar que una clave de 2048 bits no se consideraría (correctamente) “demasiado pequeña”.

gerhard · 1 Octubre, 2019 03:50

Desde U.S. | Let There Be Change | Accenture

El tamaño mínimo recomendado actualmente para los parámetros DH es de 2048 bits. Cualquier valor igual o inferior a 1024 se considera inseguro.

Vale, así que veamos la clave DH utilizando una versión más antigua de Debian:

docker run --rm -it debian:stretch
apt update && apt install -y openssl
openssl s_client -connect secure.emailsrvr.com:465 | grep "Server Temp Key"

Sí, la clave DH es definitivamente demasiado pequeña:

Server Temp Key: DH, 1024 bits

Diría que esto es algo que Rackspace debe corregir. Como solución temporal, deberías poder editar /etc/ssl/openssl.cnf y eliminar CipherString = DEFAULT@SECLEVEL=2 al final del archivo. Sidekiq debería adoptar la nueva configuración de OpenSSL después de reiniciar el contenedor.

Zyniker · 1 Octubre, 2019 04:28

openssl s_client -connect secure.emailsrvr.com:465 | grep "Server Temp Key"
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = EssentialSSL, CN = secure.emailsrvr.com
verify return:1
Server Temp Key: DH, 1024 bits

De vuelta a charlar con Rackspace.

Zyniker · 8 Octubre, 2019 22:22

Actualización de Rackspace:

Gracias por su paciencia y por haber llamado nuestra atención sobre esto. Podemos confirmar que nuestra clave DH actual es de 1024 bits. Nuestros equipos de Producto e Ingeniería han reconocido que esto debe aumentarse y ya tienen planes para solucionar el problema.

No tengo una fecha exacta para usted sobre cuándo se implementará la corrección, aunque el objetivo es hacerlo en algún momento de este mes. Tan pronto como aumentemos el tamaño de la clave DH, nos aseguraremos de mantenerlo informado con una actualización.

¡Gracias nuevamente por traer esto a nuestra atención! Si tiene preguntas o inquietudes adicionales, no dude en hacérnoslo saber.

Actualizaré este hilo cuando reciba la notificación de que la clave DH ha sido actualizada.

Wurzelseppi · 28 Octubre, 2019 12:36

Pude solucionar mi problema con ese parche, pero no es muy prometedor
En la próxima reconstrucción desaparecerá de nuevo, ¿verdad?

gerhard · 28 Octubre, 2019 12:53

Bueno, con suerte Rackspace solucionará el problema antes de que necesites realizar una reconstrucción. De lo contrario, puedes modificar openssl.cnf desde dentro de app.yml utilizando comandos sed para hacer el cambio permanente.

Zyniker · 28 Octubre, 2019 22:01

Actualización de Rackspace:

Gracias por su paciencia. El tamaño de la clave DH se ha actualizado y ahora coincide con el tamaño de la clave del certificado. Por favor, realice pruebas y avísenos si tiene alguna pregunta o inquietud adicional.

Verificado:

openssl s_client -connect secure.emailsrvr.com:465 | grep "Server Temp Key"
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = EssentialSSL, CN = secure.emailsrvr.com
verify return:1
Server Temp Key: DH, 2048 bits

Adicionalmente, verifiqué que sí puedo enviar correos electrónicos desde mis instalaciones de Discourse nuevamente. Por lo tanto (al menos para Rackspace), este problema ha sido resuelto.

Tema		Respuestas	Vistas
SSL Error during OAuth2 Self-hosting	6	1900	21 Septiembre 2023
Email Notifications Failing after Update Self-hosting email	5	800	17 Julio 2023
E-mail sending not working after upgrade Support	10	2689	31 Octubre 2019
E-mail sending stopped working after upgrade Self-hosting	3	799	16 Agosto 2022
Email not working (SSL_connect returned=1) Self-hosting	16	2628	15 Julio 2022

Errores SSL de correo tras la actualización a 2.4.0.beta4

Temas relacionados