تعذر إجراء النسخ الاحتياطي إلى نقطة نهاية S3 مخصصة بسبب خطأ في شهادة HTTPS

jaep · 27 مارس 2020، 3:06م

مرحباً،

لقد قمت مؤخراً بإعداد Discourse مع نقطة نهاية S3 مخصصة (scality). للأسف، يفشل النسخ الاحتياطي بسبب خطأ في SSL:

****************************** جولة تجريبية ******************************
نقل الملفات المرفوعة إلى S3 لـ 'default'...
رفع الملفات إلى S3...
 - سرد الملفات المحلية
.............. => 14025 ملف
 - سرد ملفات S3
rake aborted!
Seahorse::Client::NetworkingError: SSL_connect returned=1 errno=0 state=error: certificate verify failed (unspecified certificate verification error)

وبشكل مفاجئ، عند الاتصال بنقطة النهاية عبر المتصفح، يبدو أن شهادة SSL صالحة.

هل لديك أي توصية؟

شكراً مقدماً

codinghorror · 29 مارس 2020، 1:46ص

استخدم موقع ويب لفحص HTTPS على عنوان URL ذلك.

jaep · 30 مارس 2020، 7:37ص

لقد اختبرنا للتو شهادة SSL الخاصة بـ s3 ولا يوجد شيء يلفت الانتباه بشكل خاص.
هل توجد أي طريقة لزيادة مستوى تفصيل (verbosity) مكتبة العميل؟

 اختبار البروتوكولات عبر المقابس باستثناء NPN+ALPN
 SSLv2 غير معروض (مقبول)
 SSLv3 غير معروض (مقبول)
 TLS 1 معروض
 TLS 1.1 معروض
 TLS 1.2 معروض (مقبول)
 TLS 1.3 غير معروض
 NPN/SPDY http/1.1 (معلن)
 ALPN/HTTP2 http/1.1 (معروض)
 اختبار فئات التشفير
 تشفير NULL (بدون تشفير) غير معروض (مقبول)
 تشفير NULL مجهول (بدون مصادقة) غير معروض (مقبول)
 تشفير التصدير (بدون ADH+NULL) غير معروض (مقبول)
 منخفض: 64 بت + DES، RC[2,4] (بدون تصدير) غير معروض (مقبول)
 تشفير Triple DES / IDEA غير معروض (مقبول)
 متوسط: SEED + تشفيرات CBC بـ 128+256 بت معروضة
 تشفير قوي (تشفيرات AEAD) معروض (مقبول)
 اختبار السرية الأمامية المثالية (P)FS -- باستثناء المصادقة/التشفير NULL و 3DES و RC4
 السرية الأمامية معروضة (مقبول) ECDHE-RSA-AES256-GCM-SHA384
 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA
 ECDHE-RSA-CHACHA20-POLY1305
 ECDHE-RSA-CAMELLIA256-SHA384
 ECDHE-ARIA256-GCM-SHA384
 ECDHE-RSA-AES128-GCM-SHA256
 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
 ECDHE-RSA-CAMELLIA128-SHA256
 ECDHE-ARIA128-GCM-SHA256
 المنحنيات الإهليلجية المعروضة: prime256v1 secp384r1 secp521r1 X25519 X448
 اختبار تفضيلات الخادم
 هل يوجد ترتيب تشفير للخادم؟ لا (غير مقبول)
 البروتوكول المتفاوض عليه TLSv1.2
 التشفير المتفاوض عليه AES128-GCM-SHA256 -- اختبار غير حاسم، التشفير المطابق في القائمة مفقود، راجع أدناه
 التشفير المتفاوض عليه حسب البروتوكول (التشفير المطابق في القائمة مفقود)
 ECDHE-RSA-AES256-SHA: TLSv1, TLSv1.1
 ECDHE-RSA-AES256-GCM-SHA384: TLSv1.2
 لم يتم إجراء أي فحص آخر لترتيب التشفير لأن الترتيب يحدده العميل
 اختبار افتراضات الخادم (تحية الخادم)
 امتدادات TLS (قياسية) "معلومات إعادة التفاوض/#65281"
 "تنسيقات النقاط الإهليلجية/#11" "تذكرة الجلسة/#35"
 "البروتوكول التالي/#13172" "أطول طول للقطعة/#1"
 "مفاوضة بروتوكول طبقة التطبيق/#16"
 "تشفير ثم المصادقة/#22"
 "سر رئيسي موسع/#23"
 تلميح تذكرة الجلسة RFC 5077 لمدة 300 ثانية، يبدو أن مفاتيح تذاكر الجلسة تُدوّر يوميًا
 دعم معرف جلسة SSL نعم
 إعادة استخدام الجلسات تذاكر لا، معرف: لا
 انحراف ساعة TLS قيم عشوائية، لا يمكن البصمة
 خوارزمية التوقيع SHA256 مع RSA
 حجم مفتاح الخادم RSA 2048 بت
 استخدام مفتاح الخادم توقيع رقمي، تشفير المفتاح
 الاستخدام الموسع لمفتاح الخادم مصادقة عميل الويب TLS، مصادقة خادم الويب TLS
 التسلسل / البصمات 115C7B3E0D604C7C48C6B1EC968C21955BB78242 / SHA1 39699B464489253565A2CFE7E037E497B3CB3380
 SHA256 87C308F50059D200EFAE86DCBA32BC3F3EB2154D397F3606BACCABE27F6A7594
 الاسم الشائع (CN) *.epfl.ch
 subjectAltName (SAN) *.epfl.ch epfl.ch
 الجهة المصدرة QuoVadis Global SSL ICA G3 (QuoVadis Limited من BM)
 الثقة (اسم المضيف) OK عبر SAN واسع النطاق و CN واسع النطاق (نفس الشيء بدون SNI)
 سلسلة الثقة OK
 شهادة EV (تجريبية) لا
 "eTLS" (معلومات الرؤية) غير موجود
 صلاحية الشهادة (UTC) 656 >= 60 يومًا (2020-01-15 09:03 --> 2022-01-15 09:13)
 عدد الشهادات المقدمة 2
 قائمة إلغاء الشهادات http://crl.quovadisglobal.com/qvsslg3.crl، غير ملغاة
 OCSP URI http://ocsp.quovadisglobal.com، غير ملغاة
 تثبيت OCSP غير معروض
 امتداد تثبيت OCSP إلزامي --
 سجلات DNS CAA (تجريبية) غير معروضة
 شفافية الشهادات نعم (امتداد الشهادة)
 اختبار استجابة رأس HTTP في "/"
 رمز حالة HTTP 403 Forbidden
 انحراف ساعة HTTP +3 ثانية من الوقت المحلي
 الأمان الصارم للنقل (HSTS) غير معروض
 تثبيت المفتاح العام --
 شعار الخادم nginx
 شعار التطبيق --
 ملفات تعريف الارتباط (لا توجد في "/") -- ربما يكون من الأفضل تجربة عنوان URL الهدف لـ 30x
 رؤوس الأمان --
 شعار الوكيل العكسي --
/
 اختبار الثغرات
 Heartbleed (CVE-2014-0160) غير عرضة (مقبول)، لا يوجد امتداد نبض القلب
 CCS (CVE-2014-0224) غير عرضة (مقبول)
 Ticketbleed (CVE-2016-9244)، تجريبي. غير عرضة (مقبول)
 ROBOT غير عرضة (مقبول)
 إعادة التفاوض الآمن (CVE-2009-3555) غير عرضة (مقبول)
 إعادة التفاوض الآمن الذي يبدأه العميل غير عرضة (مقبول)
 CRIME، TLS (CVE-2012-4929) غير عرضة (مقبول)
 BREACH (CVE-2013-3587) لا يوجد ضغط HTTP (مقبول) - تم اختبار "/" فقط
 POODLE، SSL (CVE-2014-3566) غير عرضة (مقبول)
 TLS_FALLBACK_SCSV (RFC 7507) دعم منع هجوم التدهور (مقبول)
 SWEET32 (CVE-2016-2183, CVE-2016-6329) غير عرضة (مقبول)
 FREAK (CVE-2015-0204) غير عرضة (مقبول)
 DROWN (CVE-2016-0800, CVE-2016-0703) غير عرضة على هذا المضيف والمنفذ (مقبول)
 تأكد من عدم استخدام هذه الشهادة في أماكن أخرى مع خدمات ممكّنة لـ SSLv2
 https://censys.io/ipv4?q=87C308F50059D200EFAE86DCBA32BC3F3EB2154D397F3606BACCABE27F6A7594 يمكن أن تساعدك في معرفة ذلك
 LOGJAM (CVE-2015-4000)، تجريبي غير عرضة (مقبول): لا توجد تشفيرات DH التصدير، لا يوجد مفتاح DH مكتشف مع <= TLS 1.2
 BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES256-SHA
 AES256-SHA CAMELLIA256-SHA
 ECDHE-RSA-AES128-SHA
 AES128-SHA CAMELLIA128-SHA
 عرضة -- ولكنها تدعم أيضًا بروتوكولات أعلى TLSv1.1 TLSv1.2 (على الأرجح تم التخفيف منها)
 LUCKY13 (CVE-2013-0169)، تجريبي محتمل أن تكون عرضة، تستخدم تشفيرات كتلة CBC مع TLS. تحقق من التصحيحات
 RC4 (CVE-2013-2566, CVE-2015-2808) لا توجد تشفيرات RC4 مكتشفة (مقبول)
 اختبار 370 تشفير عبر OpenSSL والمقابس ضد الخادم، مرتبة حسب قوة التشفير
Hexcode اسم مجموعة التشفير (OpenSSL) تبادل المفاتيح التشفير البتات اسم مجموعة التشفير (IANA/RFC)
-----------------------------------------------------------------------------------------------------------------------------
 xc030 ECDHE-RSA-AES256-GCM-SHA384 ECDH 253 AESGCM 256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
 xc028 ECDHE-RSA-AES256-SHA384 ECDH 253 AES 256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
 xc014 ECDHE-RSA-AES256-SHA ECDH 253 AES 256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 xcca8 ECDHE-RSA-CHACHA20-POLY1305 ECDH 253 ChaCha20 256 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
 xc077 ECDHE-RSA-CAMELLIA256-SHA384 ECDH 253 Camellia 256 TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384
 x9d AES256-GCM-SHA384 RSA AESGCM 256 TLS_RSA_WITH_AES_256_GCM_SHA384
 xc0a1 AES256-CCM8 RSA AESCCM8 256 TLS_RSA_WITH_AES_256_CCM_8
 xc09d AES256-CCM RSA AESCCM 256 TLS_RSA_WITH_AES_256_CCM
 x3d AES256-SHA256 RSA AES 256 TLS_RSA_WITH_AES_256_CBC_SHA256
 x35 AES256-SHA RSA AES 256 TLS_RSA_WITH_AES_256_CBC_SHA
 xc0 CAMELLIA256-SHA256 RSA Camellia 256 TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
 x84 CAMELLIA256-SHA RSA Camellia 256 TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
 xc051 ARIA256-GCM-SHA384 RSA ARIAGCM 256 TLS_RSA_WITH_ARIA_256_GCM_SHA384
 xc061 ECDHE-ARIA256-GCM-SHA384 ECDH 253 ARIAGCM 256 TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384
 xc02f ECDHE-RSA-AES128-GCM-SHA256 ECDH 253 AESGCM 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
 xc027 ECDHE-RSA-AES128-SHA256 ECDH 253 AES 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
 xc013 ECDHE-RSA-AES128-SHA ECDH 253 AES 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
 xc0a0 AES128-CCM8 RSA AESCCM8 128 TLS_RSA_WITH_AES_128_CCM_8
 xc09c AES128-CCM RSA AESCCM 128 TLS_RSA_WITH_AES_128_CCM
 xc076 ECDHE-RSA-CAMELLIA128-SHA256 ECDH 253 Camellia 128 TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256
 x9c AES128-GCM-SHA256 RSA AESGCM 128 TLS_RSA_WITH_AES_128_GCM_SHA256
 x3c AES128-SHA256 RSA AES 128 TLS_RSA_WITH_AES_128_CBC_SHA256
 x2f AES128-SHA RSA AES 128 TLS_RSA_WITH_AES_128_CBC_SHA
 xba CAMELLIA128-SHA256 RSA Camellia 128 TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
 x41 CAMELLIA128-SHA RSA Camellia 128 TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
 xc050 ARIA128-GCM-SHA256 RSA ARIAGCM 128 TLS_RSA_WITH_ARIA_128_GCM_SHA256
 xc060 ECDHE-ARIA128-GCM-SHA256 ECDH 253 ARIAGCM 128 TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256
 تشغيل محاكاة العميل (HTTP) عبر المقابس
 Android 4.2.2 TLSv1.0 ECDHE-RSA-AES256-SHA، 521 بت ECDH (P-521)
 Android 4.4.2 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 521 بت ECDH (P-521)
 Android 5.0.0 TLSv1.2 ECDHE-RSA-AES256-SHA، 521 بت ECDH (P-521)
 Android 6.0 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256، 256 بت ECDH (P-256)
 Android 7.0 TLSv1.2 ECDHE-RSA-CHACHA20-POLY1305، 253 بت ECDH (X25519)
 Chrome 65 Win 7 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256، 253 بت ECDH (X25519)
 Chrome 70 Win 10 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256، 253 بت ECDH (X25519)
 Firefox 59 Win 7 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256، 253 بت ECDH (X25519)
 Firefox 62 Win 7 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256، 253 بت ECDH (X25519)
 IE 6 XP لا اتصال
 IE 7 Vista TLSv1.0 AES128-SHA، لا FS
 IE 8 Win 7 TLSv1.0 AES128-SHA، لا FS
 IE 8 XP لا اتصال
 IE 11 Win 7 TLSv1.2 ECDHE-RSA-AES256-SHA384، 256 بت ECDH (P-256)
 IE 11 Win 8.1 TLSv1.2 ECDHE-RSA-AES256-SHA384، 256 بت ECDH (P-256)
 IE 11 Win Phone 8.1 TLSv1.2 AES128-SHA256، لا FS
 IE 11 Win 10 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 256 بت ECDH (P-256)
 Edge 13 Win 10 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 256 بت ECDH (P-256)
 Edge 13 Win Phone 10 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 256 بت ECDH (P-256)
 Edge 15 Win 10 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 253 بت ECDH (X25519)
 Opera 17 Win 7 TLSv1.2 ECDHE-RSA-AES256-SHA، 256 بت ECDH (P-256)
 Safari 9 iOS 9 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 256 بت ECDH (P-256)
 Safari 9 OS X 10.11 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 256 بت ECDH (P-256)
 Safari 10 OS X 10.12 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 256 بت ECDH (P-256)
 Apple ATS 9 iOS 9 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 256 بت ECDH (P-256)
 Tor 17.0.9 Win 7 TLSv1.0 ECDHE-RSA-AES256-SHA، 256 بت ECDH (P-256)
 Java 6u45 TLSv1.0 AES128-SHA، لا FS
 Java 7u25 TLSv1.0 ECDHE-RSA-AES128-SHA، 256 بت ECDH (P-256)
 Java 8u161 TLSv1.2 ECDHE-RSA-AES256-SHA384، 256 بت ECDH (P-256)
 Java 9.0.4 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 256 بت ECDH (P-256)
 OpenSSL 1.0.1l TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 521 بت ECDH (P-521)
 OpenSSL 1.0.2e TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384، 256 بت ECDH (P-256)

Stephen · 30 مارس 2020، 7:40ص

ما هو اسم النطاق الكامل (FQDN) للنقطة الطرفية التي تحاول استخدامها؟ هل هو نطاق فرعي لـ epfl.ch؟

jaep · 30 مارس 2020، 7:41ص

بالتأكيد: s3.epfl.ch

binarymason · 29 يوليو 2020، 2:12م

مرحبًا بالجميع.

أواجه هذه المشكلة أيضًا مع مثيل MinIO مُدار ذاتيًا.

هل تودون دعم خيار منطقي مثل s3_verify_ssl لروابط S3؟

شكرًا لكم!

Falco · 29 يوليو 2020، 6:54م

أوصي بشدة باستخدام شهادة SSL صالحة لجميع احتياجاتك. يجب أن يعمل MinIO بشكل جيد خلف وكيل عكسي باستخدام شهادة Let’s Encrypt.

arrowcircle · 30 يوليو 2020، 9:16ص

لدي نفس المشكلة. حاولت إعداد النسخ الاحتياطي إلى Minio. حصلت على نفس الخطأ.

يبدو أن نقطة النهاية هي s3.k8s.domain.com. يحتوي domain.com و s3.k8s.domain.com على شهادات صالحة صادرة عن Let’s Encrypt. بينما لا تحتوي k8s.domain.com على شهادة.

كيف يمكن حل هذه المشكلة؟

الموضوع		الردود	مرات العرض
Backup is failing due to bad HTTPS Support unsupported-install	20	1792	1 مايو 2019
SSL error - can't upload images Support	5	1220	2 يونيو 2021
Unable to use internal S3 due to internal CA certificate authority Support	2	447	9 نوفمبر 2020
Unable to backup or navigate to backups Bug s3	23	377	18 نوفمبر 2024
SSL_connect returned=1 errno=0 peeraddr=162.243.189.2:443 state=error: certificate verify failed (Hostname mismatch) Self-hosting s3	19	4549	9 يناير 2024

تعذر إجراء النسخ الاحتياطي إلى نقطة نهاية S3 مخصصة بسبب خطأ في شهادة HTTPS

الموضوعات ذات الصلة