FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems

[errazzor]

Ich habe genau die gleichen SSL Probleme, traten urplötzlich aus dem Nichts auf. SSL Handshake failed / Wrong Version Number.

Habe SSL jetzt deaktviert, da ich keine Lösung gefunden habe und FHEM so unbenutzbar war

Was kann man denn noch machen?

[Tommy82]

Wieso war Fhem unbenutzbar? Hab die Fehler z.b. naach einem Fhem neustart im Log aber ansonsten ohne Probleme.

Code Auswählen Erweitern

2017.09.07 20:15:22.026 3: FHEMWEB WEBtablet CSRF error: csrf_291995404382540 ne csrf_132647053920247 for client WEBtablet_192.168.188.23_33978. For details see the csrfToken FHEMWEB attribute.


Das bei munierte WEBtablet ist ein Android Tablet welches mittels Opera auf meine FTUI zugreift

Bekomme den Fehler aber auch von meinem Laptop wenn ich auf die FTUI zugreife, auch mittels Opera

Code Auswählen Erweitern

2017.09.07 20:16:02.447 3: FHEMWEB WEBtablet CSRF error: csrf_291995404382540 ne csrf_132647053920247 for client WEBtablet_192.168.188.52_59771. For details see the csrfToken FHEMWEB attribute.


Das interessante ist das ich für WEBtablet überhaupt kein SSL eingerichtet hab.....

[errazzor]

Wieso war Fhem unbenutzbar?

Weil sich die Seite dann überhaupt nicht mehr öffnen lies.

[freakadings]

Hatte eben ein ähnliches Problem, nach dem Update des RPi.
Kam (mit Chrome) nicht mehr auf die Oberfläche von FHEM und folgendes stand im log:

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error: Nicht erlaubter Seek Failed to use certificate file error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (peer: 192.168.178.20)

Habe die alten Zertifikate auf dem RPi gelöscht und wieder neue erstellt ( https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS ), jetzt komme ich wieder drauf, gibt aber wohl noch einige Probleme mit dem update vom Pi... Never touch a running System sage ich da nur :/

[mane88]

Habe die Anleitung mit dem Zeritfikat auch versucht, seitdem komme ich leider nicht mehr auf FHEM (Chrome, IE, Safari)

FHEM läuft  das Log füllt sich auch. Kann per WINSCP oder Putty zugreifen. Folgenden Logeintrag kann ich auch sehen

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems (peer: 192.168.200.10)

Nur die FHEM Gui ist per Browser nicht mehr zu erreichen.

[Alcamar]

Gibt es neue Erkenntnisse an dieser Front?
Nach genauerer Analyse der Log-Datei in den letzten Tagen ist diese Fehlermeldung die nervigste:
FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
Immer vier Zeilen nacheinander im Log.
Wäre ein schönes Gefühl die los zu werden

[Alcamar]

Diese Zeile kommt auch nur dann, wen ich mit der Internet-Adresse auf fhem zugreife. Am Router habe ich eine entsprechende Portweiterleitung. Der netzinterne fhem-Adresse generiert keinen Eintrag im Log.

Beim Erstellen des Zertifikats gibt es einen "wichtigen" Eintrag Common Name wo man laut Wiki-Anleitung https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle den Namen des Servers angibt. Dort habe ich den internen Namen eingetragen: blabla.fritz.box und nicht den Internet-Namen (DynDNS). Ist das vielleicht das Problem?

Ich probiere mal eine neues Zertifikat und dann schauen wir mal.

Die Zusatzinformation in Klammer (peer: xxx.xxx.xxx.xxx) entspricht meiner vom Provider vergebenen IP-Adresse, wenn ich fhem zuhause über die Internet-Adresse aufrufe.

[rudolfkoenig]

Common Name muss dem Namen entsprechen, was man im Browser eingibt. Falls es nicht passt, dass gibt es zwar eine boese Warnung/Unterstellung vom Browser, man kann aber nach 2-3 Klicks weiter.

Es kommt bei einem falschen Namen nicht zu dem erwaehnten Problem, das hat vermutlich ihre Ursachen in der sslVersion Einstellungen oder in der verwendeten SSL Bibliothek. Wenn eine Verbindung geklappt hat, dann kann man in Chrome die Details z.Zt (aendert sich staendig) in der JavaScript-Console/Security-Tab pruefen. Weiss leider nicht, wo man weitersuchen kann, wenn es schiefgeht.

Ich schlage vor das Zertifikat nach dem einfacheren Anleitung in commandref (http://fhem.de/commandref_modular.html#HTTPS) zu erstellen, und erneut zu versuchen.

[Tommy82]

Hi,
ich muss das nochmal hervor holen, da ich immer noch ab und an diese Meldungen im Log hab

Code Auswählen Erweitern

2018.10.28 11:01:22.963 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.188.51)
2018.10.28 11:01:23.075 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.188.51)
2018.10.28 11:01:23.134 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.188.51)

Zertifikate habe ich schonmal neu gemacht und der Login funktioniert auch Problemlos.

Woher kommen die Meldungen?

[rudolfkoenig]

Zertifikate habe ich schonmal neu gemacht und der Login funktioniert auch Problemlos.

Ich gehe davon aus, dass es Programme auf 192.168.188.51 gibt, die versuchen dieses Port mit HTTP (ohne S) anzusteuern.
Eine provisorische Loesung waere den Port zu aendern.

[Tommy82]

Also die Adresse die ich aufrufe lautet

Code Auswählen Erweitern

https://192.168.188.47:8083/fhem und der Port 8083 ist der der SSL Verschlüsselt, von daher sollte es eigentlich funktionieren

[rudolfkoenig]

Du hast ja vorhin geschrieben, dass login funktioniert, und ich habe das auch nicht bezweifelt.
Steht auch nichts davon drin in meinen vorherigen Text.

[TheTrumpeter]

Ich schlage vor das Zertifikat nach dem einfacheren Anleitung in commandref (http://fhem.de/commandref_modular.html#HTTPS) zu erstellen, und erneut zu versuchen.

Ich habe auch die "SSL accept attempt failed" Fehlermeldungen und habe nach Lesen obiger Anleitung eine dumme Frage...

Mein Zertifikat liegt in einem Unterordner von FHEM, das "modpath" Attribut im Gerät "global" ist leer.
Muss ich in den "modpath" nun den vollständigen Pfad zum Zertifikat (z.B. /opt/fhem/certs) eintragen oder gar nix? (Irgendwie widersprechen sich da die CommandRef zu HTTPS und modpath.

[rudolfkoenig]

das "modpath" Attribut im Gerät "global" ist leer.

Da bin ich aber erstaunt. in so einem Fall startet FHEM gar nicht.
Warum und wie hast Du es entfernt?

Irgendwie widersprechen sich da die CommandRef zu HTTPS und modpath.

Kannst du mir sagen warum?

modpath
Specify the path to the modules directory FHEM. The path does not contain the directory FHEM[...]

HTTPS
[...]
A local certificate has to be generated into a directory called certs, this directory must be in the modpath directory, at the same level as the FHEM directory.

[TheTrumpeter]

Da bin ich aber erstaunt. in so einem Fall startet FHEM gar nicht.

Gut, ich behaupte nun das Gegenteil; tatsächlich ist das Attribut "modpath" auf den Wert "." gesetzt. Das habe ich am kleinen Bildschirm wohl übersehen 
Muss ich da nun noch "./certs" eintragen oder nicht?

Kannst du mir sagen warum?

Zugegeben, die englische Version ist da eindeutig.
Im Deutschen steht:

Ein lokales Zertifikat muss im Verzeichis certs erzeugt werden. Dieses Verzeichnis muss im modpath angegeben werden, also auf der gleichen Ebene wie das FHEM Verzeichnis.

Mit modpath geben Sie den Pfad zu dem Verzeichnis der FHEM Module an. Der Pfad enthält nicht das Verzeichnis FHEM.

HTTPS sagt, ich muss das "certs"-Verzeichnis im modpath angeben.
Modpath aber sagt, es enthält (nur) den Pfad zu den FHEM-Modulen.

Nach dem Lesen des englischen Textes würde ich sagen ich muss nix ändern.
Der deutsche Text ist aber missverständlich und sollte vielleicht auf "Dieses Verzeichnis muss im modpath liegen, also auf der gleichen Ebene wie das FHEM Verzeichnis."


Um zu meinem eigentlichen Thema zurückzukommen:
Ich habe wohl bzgl. Zertifikat nix falsch gemacht, die SSL-Fehlermeldung muss ein andere Ursache haben