Update von FHEM seit dem letzten Update nicht mehr möglich.

Begonnen von KnutWuchtig, 08 August 2017, 21:15:41

Vorheriges Thema - Nächstes Thema

KnutWuchtig

Hallo,
ich habe seit dem letzten Update (5.8 vom 20.07.2017) den Fehler:
https://fhem.de/fhemupdate/controls_fhem.txt: Can't connect(2) to https://fhem.de:443: SSL Version SSLv2 not supported error:00000000:lib(0):func(0):reason(0)
wodurch ein Update nicht möglich ist.

Dieser Fehler tritt sowohl bei der Anforderung über meinen Windows-PC und meinem I-Pad auf (Browser-Oberfläche Port 8083).

FHEM läuft auf einem RaspberryPi.
Das Linux auf dem Pi kann ich ohne Probleme per SSH updaten.

Fhem kann sich die aktuelle Uhrzeit vom Zeitserver holen - nur nicht das Update.
Das Forum habe ich schon nach diesem Thema durchsucht, aber keine Lösung gefunden.
Hat jemand eine Idee?
Achim

rudolfkoenig

Das Problem ist der Rechner, wo FHEM installiert ist.
Wenn ich mich nicht irre, dann unterstuetzt er keine neueren Verschluesselungsmethoden als SSLv2, und SSLV2 gilt als nicht mehr sicher.

Ich habe mal eine Liste der von fhem.de unterstuetzten Verfahren angehaengt:
% nmap --script ssl-enum-ciphers -p 443 fhem.de

Starting Nmap 6.47 ( http://nmap.org ) at 2017-08-08 21:39 CEST
Nmap scan report for fhem.de (88.99.31.202)
Host is up (0.037s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   SSLv3: No supported ciphers found
|   TLSv1.0:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.1:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|     compressors:
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 2.60 seconds


Workaround:
- in FHEM/98_update.pm die Zeile 244:
$src =~ s'^http://fhem\.de'https://fhem.de' if($upd_hasSSL);
auskommentieren / entfernen, "attr global exclude_from_update update" setzen, FHEM neu starten, und erneut probieren.

Kannst du bitte die OS-Version des FHEM-Rechners verraten?

dev0

Wenn das globale Attribut sslVersion gesetzt ist, dann könnte das auch die Ursache sein.

KnutWuchtig


rudolfkoenig

Hast du das Attribut sslVersion gesetzt?
Waere ein upgrade auf eine neuere Raspbian Version eine Option?
Gibt es andere FHEM-Anwender mit dieser Rapsbian Version, die berichten koennten, ob sie Probleme haben oder nicht?