FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems

[ChrisW]

hallo,
ich habe das schön öfters gehabt aber nun verstärkt .. Wenn ich FHEM normal auf habe + Fhem frontend + 2x andfhem vom Handy gibt es immer wieder diese Probleme:
FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems

Im Log tauchen einige dieser einträge auf.
Meist reagiert FHEM dann gar nicht mehr seiten laden ewig und auf einmal geht wieder alles nach 1-2 Minuten.

Jemand eine Idee ?

[dev0]

Ist Dein FHEM in dieser Zeit vielleicht ganz blockiert? Zugriff über telnet auf FHEM in diesen Momenten noch möglich?
Apptime und/oder Perfmon könnten helfen.

[rudolfkoenig]

Du verwendest wohl eine Perl Version < 5.20, in 5.20 ist die Fehlermeldung auf die verstaendlichere Variante "connect attempt" korrigiert. Die eigentliche Ursache kann ich nicht nennen, Net::SSLeay::accept hat 0 zurueckgeliefert, was auch immer das heisst. Soweit ich sehe (bzw. diese Diskussion lese) , ist die SSL-Initialisierung in FHEM/TcpServerUtils.pm nonblocking, evtl. nicht perfekt.
Man muesste da herumexperimentieren, um die Ursache zu finden, konkrete Vorschlaege habe ich aber keine.

[Lars_]

Moin zusammen,
nach einem Spannungsbedingten (zusätzlicher jeelink ...) Problem mit dem Filesystem vom raspi und der folgenden Neuinstallation ist das bei mir auch zu beobachten.
Zusätzlich kommt noch die Meldung :
FHEMWEB SSL/HTTPS error:  SSL accept attempt failed with unknown error error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request

Der SSL-Zugriff klappt, ich komme remote über ssl auf meinen raspi...

Ist das ggf. Abhängig von dem Perl-Modul das man installiert?
Wenn ich mich richtig erinnere, bin ich bei der Installation gefragt worden, ob ich Module für ssl V2, V3 oder beides installieren möchte (ich habe "both" gewählt.

In Verbindung mit der folgenden Meldung würde das evtl. für ein Problem mit den eigenen Zertifikaten in Verbindung mit ssl-v3 sprechen :
FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown

Gruß
Lars

[rudolfkoenig]

@Lars_: Ich vermute, dass dein Problem was Anderes ist: Wenn man im Internet nach deiner Fehlermeldung sucht, kommt als Erstes dieses Thema: https://forum.fhem.de/index.php/topic,56089 wo per SSLversion Attribut auch eine Loesung presentiert wird.

[cerberus]

Hallo, ich komme hier auch nicht weiter.

Code Auswählen Erweitern

  FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown

Ich habe das attr sslVersion z.b.     auf SSLv23:!SSLv3:!SSLv2 gesetzt, aber das hat nichts gebracht.

Hat jemand einen Tipp?

Gruß
Cerberus

[SnakeZZ]

Hallo Zusammen,

ich habe ebenfalls das problem, dass mein logfile von

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
Meldungen geflutet wird.
Jedes Mal, wenn ich einen Raum in der Liste anklicke passiert das. Sowohl von Firefox 50.0.2 wie auch von iOS Safari (neueste Version).

Ich habe inzwischen das Attribut sslVersion auf

Code Auswählen Erweitern

!TLSv1:!TLSv1_1:TLSv1_2:!SSLv23:!SSLv3:!SSLv2
gesetzt. Das hat aber leider auch keine Veränderung gebracht.

Kann man da noch was machen?

Beste Grüsse,

SnakeZZ

[ChrisW]

wie wechselt man den die SSL version ? Also ich hab auch immer mehr von diesen Problemen
aber nun noch:
2016.12.25 19:04:47 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
2016.12.25 19:05:48 1: FHEMWEB SSL/HTTPS error: Die Verbindung wurde vom Kommunikationspartner zurückgesetzt SSL accept attempt failed

Das könnte vielleicht davon kommen das ich neue Zertifikate erstellt habe und die ext Geräte andfhem Handy usw. noch nicht das neue geladen haben.

Trotzdem bleibt das handshake Problem

[XXL-Wing]

Hallo,

ich habe auch seit neuestem ähnliche Probleme mit dem Seiteneffekt dass FHEM dann eine Zeit lang keinerlei HTTP(S) traffic schafft.
Es erholt sich wieder aber mit unterschiedlicher Dauer....
Logauszug (beispielhaft)

Code Auswählen Erweitern


2016.12.28 21:51:58 1: PERL WARNING: Loading device description failed with error: 500 Can't connect to 169.254.47.187:52235 at ./FHEM/98_DLNARenderer.pm line 234.
2016.12.28 21:54:07 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 21:54:07 3: [Umgebungslicht] got no weather info from yahoo. Error code: connect to http://query.yahooapis.com:80 timed out
2016.12.28 21:54:08 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 21:56:18 2: HUEbridge: http request failed: read from http://192.168.0.8:80 timed out
2016.12.28 21:56:18 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 21:56:18 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 21:58:25 3: [Umgebungslicht] got no weather info from yahoo. Error code: connect to http://query.yahooapis.com:80 timed out
2016.12.28 21:58:25 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 21:58:25 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 21:58:26 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 22:00:36 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 22:00:36 2: HUEbridge: http request failed: http://192.168.0.8/api/gNfQdcQ8ZUg9ltSq0eKBE/lights/2/state: empty answer received
2016.12.28 22:02:43 3: [Umgebungslicht] got no weather info from yahoo. Error code: connect to http://query.yahooapis.com:80 timed out
2016.12.28 22:02:43 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 22:02:43 2: HUEbridge: http request failed: read from http://192.168.0.8:80 timed out
2016.12.28 22:02:43 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 22:02:43 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 22:04:52 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems


Was kann man da tun?
Aktuell ist meine FHEM Installation durch diese immer wieder auftretenden Probleme fast unbenutzbar

thx
Mike

[dev0]

2016.12.28 21:54:07 3: [Umgebungslicht] got no weather info from yahoo. Error code: connect to http://query.yahooapis.com:80 timed out
2016.12.28 21:56:18 2: HUEbridge: http request failed: read from http://192.168.0.8:80 timed out

Kann es nicht sein, dass das durch interne Netzwerkprobleme bei Dir verursacht wird? Sieht für mich zumindest auf den ersten Blick so aus.

[rudolfkoenig]

@XXL-Wing: In deinem Log sind zwei unabhaengige Probleme zu sehen:
- Problem bei ausgehenden Verbindungen wie in DLNARenderer/HueBridge/yahoo, was nicht mit SSL zusammenhaengt
- Problem beim eingehenden Verbindungen, die per FHEMWEB gemeldet werden.

Deswegen scheint mir die Vermutung von dev0 plausibel.

[ChrisW]

ja lag wohl am wechsel der Zertifikate ..
Hab nun HTTPS aus
Kann man irgendwie Seperat was machen das EXTERN https genutzt wird und intern Lokal die http: adresse?

[XXL-Wing]

Hallo,

@dev0, Rudolf:
Das dachte ich zuerst auch, allerdings kann ich während die Probleme im fhem aktiv sind (manchmal über mehrere Minuten hinweg) auf die Maschine problemlos per ssh einloggen und auch per wget die von fhem gemeldeten URLs direkt erreichen.
Ausser einem switch ist nichts zwischen dem fhem server und der hue Bridge.

LG Mike

[XXL-Wing]

Hallo,

so nach einer längeren Nacht und einigen Ausschluss-Tests konnte ich das Thema eingrenzen. Es lag am DLNArenderer Modul. Seit ich die Geräte und das Device selbst gelöscht habe sind die Probleme weg. Läuft alles wieder wie geschmiert.

Zusatzinfo: in der Zeit wo die HTTP Probleme auftraten, ging auch sonst gar nix im fhem. Homematic Meldungen (z.B. ausgelöster Bewegungsmelder) wurden scheinbar nicht verarbeitet, wurden aber nachdem jeweils der Hänger weg war "nachgereicht", d.h. auch die dadurch ausgelösten Schaltungen (z.B: Licht) kamen nachdem der jeweilige Hänger vorbei war.

Falls ich noch was analysieren/liefern soll in dem Zusammenhang bitte melden. Ich bin zwar Informatiker und mit Linux sehr vertraut, perl hatte ich aber bisher nicht auf dem "Speiseplan".

lG
Mike

[dev0]

Kann man irgendwie Seperat was machen das EXTERN https genutzt wird und intern Lokal die http: adresse?

Entweder zwei getrennte FHEMWEB Instanzen benutzen oder für extern einen reverse proxy dazwischen klemmen, der das SSL/TLS offloading und ggf noch die Authentifizierung macht. Bei letzterem hätte ich ein besseres Bauchgefühl, da Apache und Co. wohl schon mehr auf Sicherheitslücken abgeklopft worden sind als FHEM.

Es lag am DLNArenderer Modul.
...
Falls ich noch was analysieren/liefern soll in dem Zusammenhang bitte melden.

Am Besten mit dem Autor/Maintainer des Moduls Kontakt aufnehmen, wenn Du das Problem reproduzieren kannst.

[rudolfkoenig]

Da es vmtl. ein DLNArenderer Problem ist, bitte im passenden Forumsbereicht (laut MAINTAINER.txt Multimedia) mit einem sprechenden Betreff ein Thema oeffnen, damit der Maintainer des Moduls (dominikkarall) es sieht. Da wir im Forum regelmaessig 600+ Beitraege am Tag haben, lesen die meisten Maintainer nicht alles.

[SnakeZZ]

Also ich setze meines Wissens nach keinen DLNA renderer ein und habe trotzdem die SSL Probleme wie oben beschrieben.

Beste Grüsse

SnakeZZ


Gesendet von iPhone mit Tapatalk Pro

[Tommy82]

Hi, also ich bekomme das auch wenn ich mich über das IPhone mittels Safari einloggen

Code Auswählen Erweitern

2017.01.01 00:58:34.326 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
2017.01.01 00:59:06.025 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2017.01.01 00:59:06.100 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems



Gesendet von iPhone mit Tapatalk

[Billy]

Hi, also ich bekomme das auch wenn ich mich über das IPhone mittels Safari einloggen

Code Auswählen Erweitern

2017.01.01 00:58:34.326 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
2017.01.01 00:59:06.025 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2017.01.01 00:59:06.100 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems


Kann ich bestätigen!

Code Auswählen Erweitern

2017.01.01 21:13:20 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca

trotzdem noch ein gutes neues Jahr

[rudolfkoenig]

tlsv1 alert unknown ca

Auf was fuer einer Distribution bzw. Perl Version laeuft FHEM?
Und was fuer ein Client (OS/Browser) ist auf der anderen Seite?

ca sollte doch "Certification Authority" bedeuten, und ein "unknown ca" auf der Server-Seite macht nur dann Sinn, wenn FHEMWEB die Gegenseite verifiziert, was mW in FHEMWEB bzw. TcpServerUtils.pm nicht aktiviert ist.
Es wird Zeit, dass hier jemand mit mehr Krypto-Know-How aushilft.

[Billy]

Auf was fuer einer Distribution bzw. Perl Version laeuft FHEM?
Und was fuer ein Client (OS/Browser) ist auf der anderen Seite?

So sieht es bei mir auf dem BBB aus.
Description:    Debian GNU/Linux 7.11 (wheezy)
Release:        7.11
perl 5, version 14, subversion 2 (v5.14.2) built for arm-linux-gnueabihf -thread-multi-64int

Der Fehler tritt nur auf, wenn ich mit meinem IPAD IOS 10.1.1 und SAFARI zugreife.
Beim Zugriff mit Chrome und Android keine Fehlermeldung!

Billy

[rudolfkoenig]

Ich konnte das Problem mit IOS 10.1.1 und 10.2 reproduzieren.

Nach etwas Internetsuche bin ich hier gelandet (*hust*). Nachdem ich das immer noch installierte Zertifikat entfernte und erneut installierte, sind die Warnungen weg. Hypothese: ein OS upgrade entwertet das Zertifikat, und es muss neu installiert werden. Was ich immer noch nicht kapiere: wieso meldet der Server den Fehler, und nicht der Client.

[Tommy82]

Ich konnte das Problem mit IOS 10.1.1 und 10.2 reproduzieren.

Nach etwas Internetsuche bin ich hier gelandet (*hust*). Nachdem ich das immer noch installierte Zertifikat entfernte und erneut installierte, sind die Warnungen weg. Hypothese: ein OS upgrade entwertet das Zertifikat, und es muss neu installiert werden. Was ich immer noch nicht kapiere: wieso meldet der Server den Fehler, und nicht der Client.

Und wieso passiert das nur bei Safari auf IOS und nicht auch bei anderen Browsern?

[rudolfkoenig]

Das darfst du bitte Apple fragen.
Wie gesagt, ich verstehe nicht mal die Fehlermeldung.

[Tommy82]

Seltsam ist auch das das Problem nicht immer auftritt, heute Plötzlich gibt es wieder eine Meldung:

Code Auswählen Erweitern

2017.02.21 18:20:06.250 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca

[JWRu]

Habe das gleiche Problem, wenn ich mit dem iPad auf FHEM zugreifen will.

Code Auswählen Erweitern

2017.02.23 12:09:10 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca


[FhemPiUser]

ich bekomme selbst nach installation der zertifikate auf den endgeräten noch die fehlermeldungen, ausserdem nicht nur mit ios sondern auch mit android tablets.

Könnte da ein Update der Perl Libraries helfen?

[darthi]

Hallo zusammen,

habe mehr oder weniger das gleiche Problem.
Beim Aufruf über den Edge unter Windows bekomme ich folgende Meldung:

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems

Beim Aufruf über Firefox oder Chrome auf dem Android Smartphone:

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown

Beim Firefox auf dem PC bekomme ich keinen Fehler.

Habe schon die Zertifikate neu generiert und natürlich mehrfach die Dienste und den RPi neu gestartet. Ebenso den Parameter sslVersion wie im Thread beschrieben gesetzt.
Interessant ist es, dass der Fehler anscheinend erst auftritt, seitdem ich die HTTPS Instanz auf den Port 8084 gelegt habe. Als sie noch auf 8083er lief, hatte ich keiner Fehler im Log.

Danke für eure Hilfe.

[aski71]

Hallo,

ich habe seit Zertifikatswechsel genau das gleiche Problem, wenn ich von iOS von Extern auf fhem mittels Browser zugreifen möchte:

Code Auswählen Erweitern

SSL connect accept failed because of handshake problems error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown

Interessanterweise habe ich auch eine App namens "FHEM Control" auf dem iPhone. Diese kann problemlos zugreifen!

Ich habe dann auf iOS Firefox gestartet. Das wiederum sagt mir, ich hätte meine Website falsch konfiguriert. "Dieser Verbindung wird nicht vertraut.... Wir können nicht bestätigen, dass Ihre Verbindung zu dieser Website sicher ist...."

Sehr strange.

Ein Installieren des Zertifikates auf dem iPhone ist nach meinem Verständnis von SSL/TLS sinnlos. Das Handshake-Verfahren geht ja davon aus, dass das Verschlüsselungstoken für die Verbindung mittels des öffentlichen Zertifikats, das der Server zur Verfügung stellt, verschlüsselt wird.

M.E. ist das Problem, dass das Zertifikat vom Browser nicht akzeptiert wird, weil die Signatur des Ausstellers fehlt. Safari macht dann die Verbindung sofort zu. Firefox gibt wenigstens eine Warnung aus und fragt, ob man der "unsicheren" Verbindung trotzdem vertrauen möchte. Mich irritiert dabei, dass mein Zertifikat eigentlich von Startcom signiert sein müsste. Hm...

[aski71]

Nachtrag:
Bei mir handelte es sich wohl um ein fehlerhaftes Zertifikat von StartSSL.
Ich habe mir nun mithilfe von letsencrypt.org ein neues Zertifikat gebaut und eingehängt: Geht wieder.

[errazzor]

Ich habe genau die gleichen SSL Probleme, traten urplötzlich aus dem Nichts auf. SSL Handshake failed / Wrong Version Number.

Habe SSL jetzt deaktviert, da ich keine Lösung gefunden habe und FHEM so unbenutzbar war

Was kann man denn noch machen?

[Tommy82]

Wieso war Fhem unbenutzbar? Hab die Fehler z.b. naach einem Fhem neustart im Log aber ansonsten ohne Probleme.

Code Auswählen Erweitern

2017.09.07 20:15:22.026 3: FHEMWEB WEBtablet CSRF error: csrf_291995404382540 ne csrf_132647053920247 for client WEBtablet_192.168.188.23_33978. For details see the csrfToken FHEMWEB attribute.


Das bei munierte WEBtablet ist ein Android Tablet welches mittels Opera auf meine FTUI zugreift

Bekomme den Fehler aber auch von meinem Laptop wenn ich auf die FTUI zugreife, auch mittels Opera

Code Auswählen Erweitern

2017.09.07 20:16:02.447 3: FHEMWEB WEBtablet CSRF error: csrf_291995404382540 ne csrf_132647053920247 for client WEBtablet_192.168.188.52_59771. For details see the csrfToken FHEMWEB attribute.


Das interessante ist das ich für WEBtablet überhaupt kein SSL eingerichtet hab.....

[errazzor]

Wieso war Fhem unbenutzbar?

Weil sich die Seite dann überhaupt nicht mehr öffnen lies.

[freakadings]

Hatte eben ein ähnliches Problem, nach dem Update des RPi.
Kam (mit Chrome) nicht mehr auf die Oberfläche von FHEM und folgendes stand im log:

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error: Nicht erlaubter Seek Failed to use certificate file error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (peer: 192.168.178.20)

Habe die alten Zertifikate auf dem RPi gelöscht und wieder neue erstellt ( https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS ), jetzt komme ich wieder drauf, gibt aber wohl noch einige Probleme mit dem update vom Pi... Never touch a running System sage ich da nur :/

[mane88]

Habe die Anleitung mit dem Zeritfikat auch versucht, seitdem komme ich leider nicht mehr auf FHEM (Chrome, IE, Safari)

FHEM läuft  das Log füllt sich auch. Kann per WINSCP oder Putty zugreifen. Folgenden Logeintrag kann ich auch sehen

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems (peer: 192.168.200.10)

Nur die FHEM Gui ist per Browser nicht mehr zu erreichen.

[Alcamar]

Gibt es neue Erkenntnisse an dieser Front?
Nach genauerer Analyse der Log-Datei in den letzten Tagen ist diese Fehlermeldung die nervigste:
FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
Immer vier Zeilen nacheinander im Log.
Wäre ein schönes Gefühl die los zu werden

[Alcamar]

Diese Zeile kommt auch nur dann, wen ich mit der Internet-Adresse auf fhem zugreife. Am Router habe ich eine entsprechende Portweiterleitung. Der netzinterne fhem-Adresse generiert keinen Eintrag im Log.

Beim Erstellen des Zertifikats gibt es einen "wichtigen" Eintrag Common Name wo man laut Wiki-Anleitung https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle den Namen des Servers angibt. Dort habe ich den internen Namen eingetragen: blabla.fritz.box und nicht den Internet-Namen (DynDNS). Ist das vielleicht das Problem?

Ich probiere mal eine neues Zertifikat und dann schauen wir mal.

Die Zusatzinformation in Klammer (peer: xxx.xxx.xxx.xxx) entspricht meiner vom Provider vergebenen IP-Adresse, wenn ich fhem zuhause über die Internet-Adresse aufrufe.

[rudolfkoenig]

Common Name muss dem Namen entsprechen, was man im Browser eingibt. Falls es nicht passt, dass gibt es zwar eine boese Warnung/Unterstellung vom Browser, man kann aber nach 2-3 Klicks weiter.

Es kommt bei einem falschen Namen nicht zu dem erwaehnten Problem, das hat vermutlich ihre Ursachen in der sslVersion Einstellungen oder in der verwendeten SSL Bibliothek. Wenn eine Verbindung geklappt hat, dann kann man in Chrome die Details z.Zt (aendert sich staendig) in der JavaScript-Console/Security-Tab pruefen. Weiss leider nicht, wo man weitersuchen kann, wenn es schiefgeht.

Ich schlage vor das Zertifikat nach dem einfacheren Anleitung in commandref (http://fhem.de/commandref_modular.html#HTTPS) zu erstellen, und erneut zu versuchen.

[Tommy82]

Hi,
ich muss das nochmal hervor holen, da ich immer noch ab und an diese Meldungen im Log hab

Code Auswählen Erweitern

2018.10.28 11:01:22.963 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.188.51)
2018.10.28 11:01:23.075 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.188.51)
2018.10.28 11:01:23.134 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.188.51)

Zertifikate habe ich schonmal neu gemacht und der Login funktioniert auch Problemlos.

Woher kommen die Meldungen?

[rudolfkoenig]

Zertifikate habe ich schonmal neu gemacht und der Login funktioniert auch Problemlos.

Ich gehe davon aus, dass es Programme auf 192.168.188.51 gibt, die versuchen dieses Port mit HTTP (ohne S) anzusteuern.
Eine provisorische Loesung waere den Port zu aendern.

[Tommy82]

Also die Adresse die ich aufrufe lautet

Code Auswählen Erweitern

https://192.168.188.47:8083/fhem und der Port 8083 ist der der SSL Verschlüsselt, von daher sollte es eigentlich funktionieren

[rudolfkoenig]

Du hast ja vorhin geschrieben, dass login funktioniert, und ich habe das auch nicht bezweifelt.
Steht auch nichts davon drin in meinen vorherigen Text.

[TheTrumpeter]

Ich schlage vor das Zertifikat nach dem einfacheren Anleitung in commandref (http://fhem.de/commandref_modular.html#HTTPS) zu erstellen, und erneut zu versuchen.

Ich habe auch die "SSL accept attempt failed" Fehlermeldungen und habe nach Lesen obiger Anleitung eine dumme Frage...

Mein Zertifikat liegt in einem Unterordner von FHEM, das "modpath" Attribut im Gerät "global" ist leer.
Muss ich in den "modpath" nun den vollständigen Pfad zum Zertifikat (z.B. /opt/fhem/certs) eintragen oder gar nix? (Irgendwie widersprechen sich da die CommandRef zu HTTPS und modpath.

[rudolfkoenig]

das "modpath" Attribut im Gerät "global" ist leer.

Da bin ich aber erstaunt. in so einem Fall startet FHEM gar nicht.
Warum und wie hast Du es entfernt?

Irgendwie widersprechen sich da die CommandRef zu HTTPS und modpath.

Kannst du mir sagen warum?

modpath
Specify the path to the modules directory FHEM. The path does not contain the directory FHEM[...]

HTTPS
[...]
A local certificate has to be generated into a directory called certs, this directory must be in the modpath directory, at the same level as the FHEM directory.

[TheTrumpeter]

Da bin ich aber erstaunt. in so einem Fall startet FHEM gar nicht.

Gut, ich behaupte nun das Gegenteil; tatsächlich ist das Attribut "modpath" auf den Wert "." gesetzt. Das habe ich am kleinen Bildschirm wohl übersehen 
Muss ich da nun noch "./certs" eintragen oder nicht?

Kannst du mir sagen warum?

Zugegeben, die englische Version ist da eindeutig.
Im Deutschen steht:

Ein lokales Zertifikat muss im Verzeichis certs erzeugt werden. Dieses Verzeichnis muss im modpath angegeben werden, also auf der gleichen Ebene wie das FHEM Verzeichnis.

Mit modpath geben Sie den Pfad zu dem Verzeichnis der FHEM Module an. Der Pfad enthält nicht das Verzeichnis FHEM.

HTTPS sagt, ich muss das "certs"-Verzeichnis im modpath angeben.
Modpath aber sagt, es enthält (nur) den Pfad zu den FHEM-Modulen.

Nach dem Lesen des englischen Textes würde ich sagen ich muss nix ändern.
Der deutsche Text ist aber missverständlich und sollte vielleicht auf "Dieses Verzeichnis muss im modpath liegen, also auf der gleichen Ebene wie das FHEM Verzeichnis."


Um zu meinem eigentlichen Thema zurückzukommen:
Ich habe wohl bzgl. Zertifikat nix falsch gemacht, die SSL-Fehlermeldung muss ein andere Ursache haben 

[DerBaer]

Mahlzeit, ich hab leider ein ähnliches Problem.

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 127.0.0.1)

Allerdings scheint localhost auf mein FHEM zugreifen zu wollen und hat keine Berechtigung für das Zertifikat.
Hat jemand ne Idee warum localhost auf mein FHEM zugreifen will?

Ich hab zwischenzeitlich auch schon ein neues Zertifikat generiert und für FHEM berechtigt.

[rudolfkoenig]

Allerdings scheint localhost auf mein FHEM zugreifen zu wollen und hat keine Berechtigung für das Zertifikat.

Ich behaupte, dass der "Zugreifer" keinen Zugang zu irgendeinem der FHEM Zertifikate braucht.
Ich vermute eher, dass statt HTTPS das unverschluesselte HTTP verwendet wird.
Wer das sein soll, weiss ich aber nicht.

[DerBaer]

Ja auf den Trichter bin ich auch schon gekommen. Deswegen such ich auch keinen Weg "ihm" den Zugriff zu ermöglichen. 

Blöd, dann.muss ich wohl mit dem spamming in der Logfile leben.

[TheTrumpeter]

Blöd, dann.muss ich wohl mit dem spamming in der Logfile leben.

Ich habe mittlerweile ,,verbose 0" für die WEB-Instanz gesetzt.

[DerBaer]

Is ne möglichkeit, aber dann seh ich ja auch sonst nix.

[swsmily]

Ich bin nun auch davon betroffen.
Am 25.03.2019 habe ich ein Update von FHEM gemacht. Seitdem bekomme ich wenn ich übers Handy (Android Note8) auf FHEM zugreife extrem viele Einträge wie diese:

Code Auswählen Erweitern

2019.03.25 23:21:45.339 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown (peer: IP-Handy)

Zugriff vom Notebook mit unterschiedlichen Browsern bringt diese Meldung nicht, nur vom Handy. Dort habe ich Dolphin-Browser im Einsatz aber auch mal über Chrome probiert und ständig kommen diese Meldungen ins Log. Am Handy selbst wurden an dem Tag keine Updates gemacht.

Möchte ungern Verbose auf 0 setzen, aber diese Meldungen müllen das Log sehr zu.

[rudolfkoenig]

Funktioniert der Zugriff ueber Android?
Welche Android-Version ist installiert?

Kannst du bitte versuchsweise "attr global sslVersion TLSv12:SSLv3" setzen und melden, ob es hilft?
Ist das ein Self-Signed Zertifikat? Wenn ja, ist das Zertifikat in Android installiert? Wenn nein, behebt das Installieren das Problem?

[kwusl]

Hallo zusammen,

ich habe heute ein Update von FHEM gemacht und nun erscheinen bei mir auch die Log-Einträge. Vorherige Version ist ca. 1 Monat alt gewesen.
Client ist bei mit Windows 10 mit Chrome.

Vom Smartphone via Brave Browser erscheinen keine Log Einträge.

[EDIT] Nach dem Ändern der globals auf die SSL Version erscheint eine andere Fehlermeldung:

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error: Nicht erlaubter Seek  (peer: 192.xxx.xxx.xxx)

Grüße

[swsmily]

Funktioniert der Zugriff ueber Android?
Welche Android-Version ist installiert?

Kannst du bitte versuchsweise "attr global sslVersion TLSv12:SSLv3" setzen und melden, ob es hilft?
Ist das ein Self-Signed Zertifikat? Wenn ja, ist das Zertifikat in Android installiert? Wenn nein, behebt das Installieren das Problem?

Ja, der Zugriff funktioniert problemlos. Früher kam eben beim Aufruf der FHEM-Seite ein Hinweis, dass das Zertifikat nicht vertrauenswürdig ist, aber Zugriff war nach Bestätigen problemlos möglich. Jetzt kommt komischerweise diese Abfrage nur noch sehr selten, dafür aber diese Logeinträge, aber Zugriff funktioniert auch ohne Probleme.
Android-Version ist 9.

Mit attr global sslVersion TLSv12:SSLv3 war kein Zugriff mehr möglich, auch nicht vom Laptop aus. Eingetragen ist aber "attr global sslVersion TLSv1:!SSLv3"


Das Zertifikat ist mit dem Raspi erstellt worden. Wie ich es auf das Handy bringe muss ich mich erstmal mit beschäftigen. Hab ich noch nie versucht.

[rudolfkoenig]

Eingetragen ist aber "attr global sslVersion TLSv1:!SSLv3"

Aus welchem Grund war eine Voreinstellung notwendig? Ich empfehle sslVesion nur bei konkreten Problemen zu setzen.

https://metacpan.org/pod/IO::Socket::SSL empfielht SSLv23:!SSLv3:!SSLv2, evtl. kannst die da vorgeschlagenen Werte ausprobieren. Ich fuerchte das ist kein FHEM Problem, sondern die der verwendeten Bibliotheken, und ich bin (noch?) kein openSSL Experte.

Wie ich es auf das Handy bringe muss ich mich erstmal mit beschäftigen. Hab ich noch nie versucht.

Die Zertifikate per Email-Anhang schicken, und draufklicken.
Alternativ sie auf eine (private?) Webseite stellen, Webseite mit Handy besuchen, und auf dem Zertifikat klicken.

[swsmily]

Aus welchem Grund war eine Voreinstellung notwendig? Ich empfehle sslVesion nur bei konkreten Problemen zu setzen.

https://metacpan.org/pod/IO::Socket::SSL empfielht SSLv23:!SSLv3:!SSLv2, evtl. kannst die da vorgeschlagenen Werte ausprobieren. Ich fuerchte das ist kein FHEM Problem, sondern die der verwendeten Bibliotheken, und ich bin (noch?) kein openSSL Experte.
Die Zertifikate per Email-Anhang schicken, und draufklicken.
Alternativ sie auf eine (private?) Webseite stellen, Webseite mit Handy besuchen, und auf dem Zertifikat klicken.

Ich hatte mal Probleme, dass irgendwas keinen Zugriff auf FHEM hatte, daher hab ich die Voreinstellung getroffen und bis vor paar Wochen damit auch nie wieder Probleme gehabt.

Ich hab nun auch mal die Empfehlung eingetragen, auch damit kommt der gleiche Fehler, ebenso mit installierten Zertifikaten.
Mein bisheriger Workaround ist FHEMWEB auf Verbose 0 zu stellen, damit das Logfile nicht so extrem zugemüllt wird. Pro Zugriff erzeugt es 18 dieser Zeilen.

[popy]

Gleiches hier, nach Update (ist aber schon ein paar Wochen aus):

Code Auswählen Erweitern


2019.04.06 17:45:39 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:45:39 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:45:42 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:42 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:44 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:44 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:44 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:44 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)


Will nur intern per https drauf, Port Weiterleitung ist keine eingerichtet (mache ich über VPN).
Hatte bis jetzt kein cert unter /opt/fhem/certs liegen, da liegt nur:

Code Auswählen Erweitern


-rw-r--r-- 1 root root 1379 Oct 29  2017 server-cert.pem
-rw-r--r-- 1 root root 1704 Oct 29  2017 server-key.pem


Bis vor kurzem keine Probleme, seit dem Update wird das Log zugemüllt bei jedem Zugriff.
FHEMWEB geht aber anstandslos, greife nur über die IP darauf zu (192.168.0.XXX)

Gibts schon Abhilfe außer verbose "0"?

Danke
pOpY

[rudolfkoenig]

Welche Version hat der Browser/ das OS?

[popy]

Welche Version hat der Browser/ das OS?

Sorry, hatte ich vergessen.

Chrome Version 73.0.3683.86 (Offizieller Build) (64-Bit)
Windows 10 1809 (Build 17763.348)

PS.: Sorry hatte natürlich schon lt dieser ANleitung die pem Files 2017 erstellt: https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS

Habs auch neu erstellt, ändert nichts an den Log Meldungen.

pOpY

[rudolfkoenig]

Die Fehlermeldung kommt mit Chrome 73, mit Chrome 72 ist noch alles ok.
Laut diesen Blog-Eintrag hat bereits Chrome 72 TLS 1.0 und TLS 1.1 als "deprecated" eingestuft (TLS 1.2 und TLS 1.3 sind ok), was 73 in dieser Hinsicht geaendert hat, habe ich nicht gefunden.
Die Voreinstellung in FHEM aktiviert TLS 1.0, TLS 1.1 und TLS 1.2, das kann man z.Bsp. mit "nmap --script ssl-enum-ciphers -p 8443 localhost" pruefen.
Wenn ich "attr WEBS sslVersion TLSv1_2" setze, dann wird laut nmap nur TLS 1.2 unterstuetzt, der Chrome-Aufruf provoziert die besagte Meldung trotzdem.
TLSv1_3 kann ich nicht testen: ich bekomme z.Zt. "SSL Version TLSv1_3 not supported", ich benotige vmtl. eine neuere openssl Version.
Falls jemand TLSv1_3 besser testen kann, dann bitte hier melden.

Ich stecke nicht so tief in der Materie drin (und will eigentlich auch nicht), um zu sagen, ob diese Meldung ein Fehler in openssl/IO::Socket::SS, oder ein Seiteneffekt der chromeschen Polizeimassnahmen ist.
Waere nett, wenn jemand weiter nachforschen und aufklaeren koennte.
Wenn keiner eine Idee hat, dann bin ich geneigt genau diese Fehlermeldung explizit zu unterdruecken oder auf verbose 5 zu schieben.

[popy]

Danke für die Info.
Auch bei mir geht "attr WEBS sslVersion TLSv1_3" leider nicht.

[rudolfkoenig]

Nach laengerem experimentieren  habe ich jetzt TLSv1_3 in einem der installierten perl Versionen (ich musste Net::SSLeay und IO::Socket::SSL mit auf ein openssl 1.1.1b Verzeichnis gesetzten OPENSSL_PREFIX Umgebugsvariable neu installieren), allerdings kriege ich die Fehlermeldung immer noch.

Ich habe deswegen fuer diese Fehlermeldung verbose auf 5 geaendert.
Weiterhin ist der sslVersion Voreinstellung undef, d.h. wir nehmen die Voreinstellung von IO::Socket::SSL.

[popy]

Danke, wo kann ich mir die geänderte File downloaden (ohne aufs morgige Update warten zu müssen)?

Danke
pOpY

Update: Gefunden https://svn.fhem.de/trac/changeset/19138/ eingespielt und funktioniert wie es soll. Danke

[MBHG]

Hallo,

ich hatte die gleiche Fehlermeldung.

FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown

Nach einem Update ging sie weg. Aber jetzt kann ich über https extern nicht mehr auf FHEM zugreifen wobei ein Zugriff auf meinen Webserver mit https nach wie vor klappt!

Ich bekomme einen connection error mit -6

Gruss Marc

[rudolfkoenig]

Hilft die alte und entfernte Voreinstellung explizit zu setzen?

Code Auswählen Erweitern

attr WEB sslVersion TLSv12:!SSLv3

[MBHG]

Danke für den Hinweis. Ich vermute aktuell ein Problem mit dem Zerifikat, unabhängig von FHEM. Ein weiterer https server von mir funktionert aktuell auch nicht.

Gruss Marc

[skeleton]

Hallo,

ist das Problem nun gefixt, wenn ja wie und was muss gemacht werden ?
Ich bin kein SourceCode Grübler mehr, konkrete hinweise welches File ersetzt werden muss oder wo geändert werden währen klasse
Cheers
(C)arlos

[rudolfkoenig]

Ein normales update in FHEM sollte reichen.

[skeleton]

Cool ja danke geht wieder ...frohe Weihnachten

[Tommy82]

Hallo,
ich habe auch mal wieder zwei unterschiedliche Meldungen im Log

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.168.188.47)

Code Auswählen Erweitern

FHEMWEB WEBtablet CSRF error: csrf_651992010725641 ne csrf_193224235216950 for client WEBtablet_192.168.188.52_46162 / command jsonlist2 Alarm,YahooWetter,Anruferliste,GelbeTonneIn,BiomuellIn,PapierIn,RestmuellIn,Fenster_neben_Couch,Fenster_ueber_Heizung,Terassen_Tuer,VU_Ultimo,Uno_Schlafzimmer,Uno_Kellerbar,WHS_2011,WinServer,Feueralrm_Dummy,rd_SysInfo STATE fc1_icon fc2_icon fc3_icon fc4_icon fc5_icon fc6_icon fc7_icon 1-state 1-number 2-number 2-state 1-timestamp 1-name 1-duration 2-timestamp 2-name 2-duration fc1_condition fc1_low_c fc1_high_c fc2_day_of_week fc2_condition fc2_low_c fc2_high_c fc3_day_of_week fc3_condition fc3_low_c fc3_high_c fc4_day_of_week fc4_condition fc4_low_c fc4_high_c fc5_day_of_week fc5_condition fc5_low_c fc5_high_c fc6_day_of_week fc6_condition fc6_low_c fc6_high_c fc7_day_of_week fc7_condition fc7_low_c fc7_high_c. For details see the csrfToken FHEMWEB attribute.

Wo ich nicht wirklich weiss wo die herkommen, aber anscheind beide mit SSL zu tun haben!?

[amenomade]

Die 2. Meldung hat nichts mit ssl zu tun: das Gerät mit IP Adresse 192.168.188.52 versucht, sich mit einem verälteten csrf_token in der Tablet Webinstanz anzumelden. Einfach den Browser auf diesem Gerät neu starten.

[rudolfkoenig]

Die erste Meldung kommt auch dann, wenn mann statt https:// "nur" http:// im Browser eingegeben hat.

[rudolfkoenig]

Ich tippe auf meinen vorherigen Beitrag.

Das Attribut wuerde ich nur dann setzen, wenn ich sicher bin, dass die installierte Bibliothek falsche Voreinstellungen waehlt.