Цитата:
Сообщение от alexcon314
Может бред, но послушайте 443 порт на предмет <policy-file-request/> и последующей отправки кроссдоменника клиенту. Я что-то засомневался, что для разрешения ssl соедиения требуется загрузить дополнительно некий файл с другого порта....
Ошибки говорят, что сначала не найден/не загружен кроссдоменник и, как следствие, SecurityError...
|
Идет там соединение на 843 порт за данными политики. У меня два демона запущено, оба отрабатывают, причем одинаково - ответ нулевой длины. Там, кстати, не файл загружается, а считывается информация из сокета. Но для очистки совести ничего не мешает и эту версию проверить.
Да, маленькое уточнение для устранения возникшего недопонимания (я про пост maxkar ).
Цитата:
|
Не понятно, почему он у вас из среды разработки не может соединиться с сокетом... Там ошибка именно соединения. firewall мешает или что-то еще экзотическое?
|
На уровне просто сокетов соединение прекрасно устанавливается - это есть в логах. Тоесть никакой файервол там не мешает, транспортный канал открыт. Вся муть начинается, когда поверх транспортного канала пытаемся поднять защищенный.
Я сделал расширенный вывод ошибок и может быть появится информация почему там ответ нулевой длины. Проверить сейчас не могу, так как у меня нету флеш-клиента. Как инфа появится - отпишусь.
Добавлено через 3 часа 53 минуты
Вобщем ничего хорошего сказать не могу. Что я точно выяснил:
1. Трафика по 443 порту не было
2. Попытка чтения из SSL соединения по прежнему безуспешна SSL_read просто возвращает ноль и все. При этом никаких сообщений об ошибках из самой библиотеки OpenSSL не приходит, в логах пусто.
Добавлено через 5 часов 47 минут
Цитата:
Сообщение от poyo_poyo
Насколько я знаю, проведение SSL хэндшейка будет несколько затруднительно если клиент не имеет всех необходимых для этого данных 
...
Сертификат самоподписанный, сертификат CA помещен в хранилище доверенных корневых сертификатов на машине клиента.
По поводу С-клиента: сначала порождается контекст SSL, делаются необходимые настройки в нем а потом вызывается функция SSL_connect. При ее вызове автоматически происходит хэндшейк, во время которого происходят необходимые проверки. В случае успеха устанавливается SSL соединение, а при неудаче в лог вываливается куча ошибок.
Трафик уйдет к атакующему и тот будет нервно курить в углу, так как у него нету подписанных моим корневым сертификатом сертификатов сервера. Соответственно, хэндшейк не пройдет и SSL_connect завершится с ошибкой. |
Похоже я был слишком оптимистичен по поводу проверок при хэндшейке
Буду читать маны.
Добавлено через 5 часов 53 минуты
Дополнение от флеш-программиста:
Цитата:
|
при запуске из IDE serverCertificateStatus выдал: principalMismatch
|
25.04.2013, 16:56
Древовидный вид