FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems

DerBaer · 21 Februar 2019, 13:02:44

Mahlzeit, ich hab leider ein ähnliches Problem.

FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 127.0.0.1)

Allerdings scheint localhost auf mein FHEM zugreifen zu wollen und hat keine Berechtigung für das Zertifikat.
Hat jemand ne Idee warum localhost auf mein FHEM zugreifen will?

Ich hab zwischenzeitlich auch schon ein neues Zertifikat generiert und für FHEM berechtigt.

rudolfkoenig · 21 Februar 2019, 13:21:57

ZitatAllerdings scheint localhost auf mein FHEM zugreifen zu wollen und hat keine Berechtigung für das Zertifikat.

Ich behaupte, dass der "Zugreifer" keinen Zugang zu irgendeinem der FHEM Zertifikate braucht.
Ich vermute eher, dass statt HTTPS das unverschluesselte HTTP verwendet wird.
Wer das sein soll, weiss ich aber nicht.

DerBaer · 21 Februar 2019, 15:05:08

Ja auf den Trichter bin ich auch schon gekommen. Deswegen such ich auch keinen Weg "ihm" den Zugriff zu ermöglichen.

Blöd, dann.muss ich wohl mit dem spamming in der Logfile leben.

TheTrumpeter · 21 Februar 2019, 15:08:49

Zitat von: DerBaer am 21 Februar 2019, 15:05:08
Blöd, dann.muss ich wohl mit dem spamming in der Logfile leben.

Ich habe mittlerweile ,,verbose 0" für die WEB-Instanz gesetzt.

DerBaer · 21 Februar 2019, 15:10:52

Is ne möglichkeit, aber dann seh ich ja auch sonst nix.

swsmily · 30 März 2019, 00:12:33

Ich bin nun auch davon betroffen.
Am 25.03.2019 habe ich ein Update von FHEM gemacht. Seitdem bekomme ich wenn ich übers Handy (Android Note8) auf FHEM zugreife extrem viele Einträge wie diese:

Code Auswählen

2019.03.25 23:21:45.339 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown (peer: IP-Handy)

Zugriff vom Notebook mit unterschiedlichen Browsern bringt diese Meldung nicht, nur vom Handy. Dort habe ich Dolphin-Browser im Einsatz aber auch mal über Chrome probiert und ständig kommen diese Meldungen ins Log. Am Handy selbst wurden an dem Tag keine Updates gemacht.

Möchte ungern Verbose auf 0 setzen, aber diese Meldungen müllen das Log sehr zu.

rudolfkoenig · 31 März 2019, 13:19:39

Funktioniert der Zugriff ueber Android?
Welche Android-Version ist installiert?

Kannst du bitte versuchsweise "attr global sslVersion TLSv12:SSLv3" setzen und melden, ob es hilft?
Ist das ein Self-Signed Zertifikat? Wenn ja, ist das Zertifikat in Android installiert? Wenn nein, behebt das Installieren das Problem?

kwusl · 31 März 2019, 17:30:54

Hallo zusammen,

ich habe heute ein Update von FHEM gemacht und nun erscheinen bei mir auch die Log-Einträge. Vorherige Version ist ca. 1 Monat alt gewesen.
Client ist bei mit Windows 10 mit Chrome.

Vom Smartphone via Brave Browser erscheinen keine Log Einträge.

[EDIT] Nach dem Ändern der globals auf die SSL Version erscheint eine andere Fehlermeldung:

Code Auswählen

FHEMWEB SSL/HTTPS error: Nicht erlaubter Seek (peer: 192.xxx.xxx.xxx)

Grüße

swsmily · 31 März 2019, 20:09:24

Zitat von: rudolfkoenig am 31 März 2019, 13:19:39
Funktioniert der Zugriff ueber Android?
Welche Android-Version ist installiert?

Kannst du bitte versuchsweise "attr global sslVersion TLSv12:SSLv3" setzen und melden, ob es hilft?
Ist das ein Self-Signed Zertifikat? Wenn ja, ist das Zertifikat in Android installiert? Wenn nein, behebt das Installieren das Problem?

Ja, der Zugriff funktioniert problemlos. Früher kam eben beim Aufruf der FHEM-Seite ein Hinweis, dass das Zertifikat nicht vertrauenswürdig ist, aber Zugriff war nach Bestätigen problemlos möglich. Jetzt kommt komischerweise diese Abfrage nur noch sehr selten, dafür aber diese Logeinträge, aber Zugriff funktioniert auch ohne Probleme.
Android-Version ist 9.

Mit attr global sslVersion TLSv12:SSLv3 war kein Zugriff mehr möglich, auch nicht vom Laptop aus. Eingetragen ist aber "attr global sslVersion TLSv1:!SSLv3"

Das Zertifikat ist mit dem Raspi erstellt worden. Wie ich es auf das Handy bringe muss ich mich erstmal mit beschäftigen. Hab ich noch nie versucht.

rudolfkoenig · 01 April 2019, 11:47:49

ZitatEingetragen ist aber "attr global sslVersion TLSv1:!SSLv3"

Aus welchem Grund war eine Voreinstellung notwendig? Ich empfehle sslVesion nur bei konkreten Problemen zu setzen.

https://metacpan.org/pod/IO::Socket::SSL empfielht SSLv23:!SSLv3:!SSLv2, evtl. kannst die da vorgeschlagenen Werte ausprobieren. Ich fuerchte das ist kein FHEM Problem, sondern die der verwendeten Bibliotheken, und ich bin (noch?) kein openSSL Experte.

ZitatWie ich es auf das Handy bringe muss ich mich erstmal mit beschäftigen. Hab ich noch nie versucht.

Die Zertifikate per Email-Anhang schicken, und draufklicken.
Alternativ sie auf eine (private?) Webseite stellen, Webseite mit Handy besuchen, und auf dem Zertifikat klicken.

swsmily · 01 April 2019, 20:41:03

Zitat von: rudolfkoenig am 01 April 2019, 11:47:49
Aus welchem Grund war eine Voreinstellung notwendig? Ich empfehle sslVesion nur bei konkreten Problemen zu setzen.

https://metacpan.org/pod/IO::Socket::SSL empfielht SSLv23:!SSLv3:!SSLv2, evtl. kannst die da vorgeschlagenen Werte ausprobieren. Ich fuerchte das ist kein FHEM Problem, sondern die der verwendeten Bibliotheken, und ich bin (noch?) kein openSSL Experte.
Die Zertifikate per Email-Anhang schicken, und draufklicken.
Alternativ sie auf eine (private?) Webseite stellen, Webseite mit Handy besuchen, und auf dem Zertifikat klicken.

Ich hatte mal Probleme, dass irgendwas keinen Zugriff auf FHEM hatte, daher hab ich die Voreinstellung getroffen und bis vor paar Wochen damit auch nie wieder Probleme gehabt.

Ich hab nun auch mal die Empfehlung eingetragen, auch damit kommt der gleiche Fehler, ebenso mit installierten Zertifikaten.
Mein bisheriger Workaround ist FHEMWEB auf Verbose 0 zu stellen, damit das Logfile nicht so extrem zugemüllt wird. Pro Zugriff erzeugt es 18 dieser Zeilen.

popy · 06 April 2019, 17:54:18

Gleiches hier, nach Update (ist aber schon ein paar Wochen aus):

Code Auswählen


2019.04.06 17:45:39 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:45:39 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:45:42 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:42 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:44 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:44 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:44 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)
2019.04.06 17:47:44 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.0.XXX)

Will nur intern per https drauf, Port Weiterleitung ist keine eingerichtet (mache ich über VPN).
Hatte bis jetzt kein cert unter /opt/fhem/certs liegen, da liegt nur:

Code Auswählen


-rw-r--r-- 1 root root 1379 Oct 29  2017 server-cert.pem
-rw-r--r-- 1 root root 1704 Oct 29  2017 server-key.pem

Bis vor kurzem keine Probleme, seit dem Update wird das Log zugemüllt bei jedem Zugriff.
FHEMWEB geht aber anstandslos, greife nur über die IP darauf zu (192.168.0.XXX)

Gibts schon Abhilfe außer verbose "0"?

Danke
pOpY

rudolfkoenig · 07 April 2019, 09:29:49

Welche Version hat der Browser/ das OS?

popy · 07 April 2019, 09:54:30

Zitat von: rudolfkoenig am 07 April 2019, 09:29:49
Welche Version hat der Browser/ das OS?

Sorry, hatte ich vergessen.

Chrome Version 73.0.3683.86 (Offizieller Build) (64-Bit)
Windows 10 1809 (Build 17763.348)

PS.: Sorry hatte natürlich schon lt dieser ANleitung die pem Files 2017 erstellt: https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS

Habs auch neu erstellt, ändert nichts an den Log Meldungen.

pOpY

rudolfkoenig · 07 April 2019, 10:42:00

Die Fehlermeldung kommt mit Chrome 73, mit Chrome 72 ist noch alles ok.
Laut diesen Blog-Eintrag hat bereits Chrome 72 TLS 1.0 und TLS 1.1 als "deprecated" eingestuft (TLS 1.2 und TLS 1.3 sind ok), was 73 in dieser Hinsicht geaendert hat, habe ich nicht gefunden.
Die Voreinstellung in FHEM aktiviert TLS 1.0, TLS 1.1 und TLS 1.2, das kann man z.Bsp. mit "nmap --script ssl-enum-ciphers -p 8443 localhost" pruefen.
Wenn ich "attr WEBS sslVersion TLSv1_2" setze, dann wird laut nmap nur TLS 1.2 unterstuetzt, der Chrome-Aufruf provoziert die besagte Meldung trotzdem.
TLSv1_3 kann ich nicht testen: ich bekomme z.Zt. "SSL Version TLSv1_3 not supported", ich benotige vmtl. eine neuere openssl Version.
Falls jemand TLSv1_3 besser testen kann, dann bitte hier melden.

Ich stecke nicht so tief in der Materie drin (und will eigentlich auch nicht), um zu sagen, ob diese Meldung ein Fehler in openssl/IO::Socket::SS, oder ein Seiteneffekt der chromeschen Polizeimassnahmen ist.
Waere nett, wenn jemand weiter nachforschen und aufklaeren koennte.
Wenn keiner eine Idee hat, dann bin ich geneigt genau diese Fehlermeldung explizit zu unterdruecken oder auf verbose 5 zu schieben.