OpenSSL无法建立SSL连接，因为不支持的协议

Question

我正在尝试从OpenCog构建这里，当我发出这个命令时

octool -rdcpav -l default

它构建了所有的东西，但随后就进入了安装链接语法的步骤，这种情况就发生了。

[octool] Installing Link-Grammar....
--2020-06-13 10:09:36--  http://www.abisource.com/downloads/link-grammar/current/
Resolving www.abisource.com (www.abisource.com)... 130.89.149.216
Connecting to www.abisource.com (www.abisource.com)|130.89.149.216|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://www.abisource.com/downloads/link-grammar/current/ [following]
--2020-06-13 10:09:37--  https://www.abisource.com/downloads/link-grammar/current/
Connecting to www.abisource.com (www.abisource.com)|130.89.149.216|:443... connected.
OpenSSL: error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol
Unable to establish SSL connection.

我上的是ubuntu 20.04 LTS

Answer 1

www.abisource.com只支持TLS1.0版本，该版本现在已经损坏(或者至少被削弱了)，而且已经过时。根据它的标题，它是Apache 2.2.15 (Fedora)，从2010年开始！

因此，这似乎是与版本不支持协议相同的问题，除了Ubuntu，而不是Debian和wget (由octool使用)，而不是openvpn。尝试接受的转换:编辑/etc/ssl/openssl.cnf在system_default_sect下降级MinProtocol=TLSv1和可能的CipherString=DEFAULT:@SECLEVEL=1 -服务器的DHE键是1k，我不记得如果在第2级工作，虽然它的证书是荒谬的RSA 4k！

更新：好了，我下载并安装了Ubuntu20.04，包括libssl1.1的源代码，并查看了它，他们没有保留方法，而是修改了它。具体来说，他们没有修改openssl.cnf文件以要求TLSv1.2，而是编译OpenSSL/libssl来生成默认的SECLEVEL 2，并使SECLEVEL 2强制TLSv1.2 (它不是上游的)。

但是，仍然可以通过向openssl.cnf添加所需的(弱)配置来修复它：

• 在默认部分的某个位置，即在以[开头的第一行之前，添加一行 openssl_conf = openssl_configuration 我喜欢把它放在最上面，但那只是我。
• 从技术上讲，在任何区段边界，但最简单的结尾，添加三个新的部分： openssl_configuration ssl_conf = ssl_configuration ssl_configuration system_default = tls_system_default tls_system_default CipherString = DEFAULT:@SECLEVEL=1

注意，由于MinProtocol还没有出现，所以您不需要添加它(代码缺省值是可以的)，但是如果需要的话可以添加。

现在它起作用了：

$ wget https://www.abisource.com/
--2020-06-20 05:11:11--  https://www.abisource.com/
Resolving www.abisource.com (www.abisource.com)... 130.89.149.216
Connecting to www.abisource.com (www.abisource.com)|130.89.149.216|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 7687 (7.5K) [text/html]
Saving to: ‘index.html’

index.html          100%[===================>]   7.51K  --.-KB/s    in 0.002s

2020-06-20 05:11:12 (3.90 MB/s) - ‘index.html’ saved [7687/7687]

正如你所评论的，这是一个全球性的变化。您可以通过编辑octool的副本来将选项--ciphers=DEFAULT:@SECLEVEL=1添加到wget命令中，从而对此特定操作进行更改。使用原始的openssl.cnf：

$ wget --ciphers=DEFAULT:@SECLEVEL=1 https://www.abisource.com/
--2020-06-20 05:15:21--  https://www.abisource.com/
Resolving www.abisource.com (www.abisource.com)... 130.89.149.216
Connecting to www.abisource.com (www.abisource.com)|130.89.149.216|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 7687 (7.5K) [text/html]
Saving to: ‘index.html.1’

index.html.1        100%[===================>]   7.51K  --.-KB/s    in 0s

2020-06-20 05:15:22 (330 MB/s) - ‘index.html.1’ saved [7687/7687]