LINUX.ORG.RU
ФорумAdmin

Шифрование Prosody, помогите победить

 ,


0

1

Доброй ночи (или утро) уважаемые. Столкнулся с такой проблемой в работе prosody: в error-лог сыпятся ошибки, подключится к серверу соответсвенно невозможно.

 Mar 26 04:01:38 certmanager>error>  SSL/TLS: Error initialising for example.com: OpenSSL does not support ECDH                                           
   2 Mar 26 04:01:38 example.com:tls>   error>  Unable to initialize TLS: OpenSSL does not support ECDH

Операционаая система: Gentoo, версия prosody 0.9.10.
Конфиг Prosody
Заранее очень благодарен.

★★★★

Или апдейть openssl или используй rsa в сертификатах вместо elliptic curves.

/мимокрокодил

beastie ★★★★★
()

У тебя в конфиге очень много всяких разных опций SSL. Если ты их просто уберешь, то prosody выберет что-то вполне разумное из поддерживаемых. Но наверное можно пересобрать openssl с поддержкой всего, что перечислено в конфиге.

TeopeTuK ★★★★★
()
Ответ на: комментарий от pztrn

из исходников. Версия: openssl-1.0.2g-r2

xaTa ★★★★
() автор топика
Ответ на: комментарий от beastie

Некуда апдейтить. Самая последняя стоит.

xaTa ★★★★
() автор топика
Ответ на: комментарий от TeopeTuK
ssl = {
     key = "/etc/jabber/certs/example.com.pem";
     certificate = "/etc/jabber/certs/example.com.pem";         
}
Mar 26 16:14:28 certmanager>error>  SSL/TLS: Error initialising for example.com: OpenSSL does not support ECDH                                           
Mar 26 16:14:28 example.com:tls>   error>  Unable to initialize TLS: OpenSSL does not support ECDH
Mar 26 16:14:28 certmanager>error>  SSL/TLS: Error initialising for example.com: OpenSSL does not support ECDH
Mar 26 16:14:28 example.com:tls>   error>  Unable to initialize TLS: OpenSSL does not support ECDH
xaTa ★★★★
() автор топика
equery uses openssl
...
 - - bindist       : Disable EC algorithms (as they seem to be patented) -- note: changes the ABI 
...

А попробуй пересобрать без bindist.

Nirvandil
()
Ответ на: комментарий от xaTa

Попробуй пересобрать dev-lua/luasec. И сделай eselect lua и eselect luajit. Даже если показывает что всё ок, eselect-ни всё равно.

ass ★★★★
()
Ответ на: комментарий от ass

Пересобрал.

srv0 ~ # eselect lua list
!!! Error: Can't load module lua
exiting
srv0 ~ # eselect luajit list
!!! Error: Can't load module luajit
exiting

xaTa ★★★★
() автор топика
Ответ на: комментарий от xaTa

Наоборот, получается? Ок, заглянем в openssl-1.0.2g-r2.ebuild:

...
./${config} \
                ${sslout} \
                $(use cpu_flags_x86_sse2 || echo "no-sse2") \
                enable-camellia \
                $(use_ssl !bindist ec) \ 
...
Из документации:

To check for an unset USE flag, the use_enable !flag form can be used.

Т.е., получается, «если не bindist, добавить ec».
Выглядит, как будто всё наоборот, я тоже не понимаю Может, кто-то другой объяснит.

Nirvandil
()
Ответ на: комментарий от Nirvandil

понизил версию openssl уже с bindist и -bindist не работает...Караул.

xaTa ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.