<div dir="ltr"><div><br>Much obliged,<br><br></div>Bogdan<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 20, 2014 at 7:56 PM, Ingela Andin <span dir="ltr"><<a href="mailto:ingela.andin@gmail.com" target="_blank">ingela.andin@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi!<br><div class="gmail_extra"><br><div class="gmail_quote"><span class="">2014-10-20 16:44 GMT+02:00 Bogdan Andu <span dir="ltr"><<a href="mailto:bog495@gmail.com" target="_blank">bog495@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Thank you both for help,<br><br></div>I definitely look into both solutions, the -define one looking the easiest.<br><br></div><div>So, if I define de following as:<br><br>-define(DEFAULT_SUPPORTED_VERSIONS, [tlsv1]).<br><br></div><div>and recompile otp R14<br></div><div>there should be available only tlsv1 I presume.<br></div><div><br></div>Thank you very much,<br><br></div></div></blockquote><div><br></div><div><br></div></span><div>Well yes Andreas has a point that this would have the desired affect.  It does not fix the bug, but as in your case of R14, disabling sslv3  would leave one version of the protocol, </div><div>so I guess that would be acceptable.</div><div><div class="h5"><div><br></div><div><br></div><div>Regards Ingela Erlang/OTP team - Ericsson AB</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div></div>Bogdan<br><div><div><div><br><br></div></div></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 20, 2014 at 5:02 PM, Andreas Schultz <span dir="ltr"><<a href="mailto:aschultz@tpip.net" target="_blank">aschultz@tpip.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<span><br>
----- On 20 Oct, 2014, at 15:17, Ingela Andin <a href="mailto:ingela.andin@gmail.com" target="_blank">ingela.andin@gmail.com</a> wrote:<br>
<br>
> The commit that solves the problem is:<br>
><br>
> bfb408ae3d424bf8f510806434eb14a730adc4fb<br>
><br>
> How easy it is to port it to R14 I do not know, but I think doing so is proably<br>
> your best option if you can not<br>
> upgrade.<br>
<br>
</span>Instead of back-porting, you could always adjust this define in<br>
ssl_internal.hrl:<br>
<br>
-define(DEFAULT_SUPPORTED_VERSIONS, [tlsv1, sslv3]).<br>
<br>
Andreas<br>
<div><div><br>
><br>
> Regards Ingela Erlang/OTP Team - Ericsson AB<br>
><br>
> 2014-10-20 13:42 GMT+02:00 Bogdan Andu < <a href="mailto:bog495@gmail.com" target="_blank">bog495@gmail.com</a> > :<br>
><br>
><br>
><br>
> Hi Ingela,<br>
><br>
> Thank you for reply so quickly.<br>
><br>
> You are right, R14 is rather old, but in the near future this is my only option<br>
> to run my<br>
> production application server that servers ssl connections as this is a per<br>
> policy decision<br>
> and the pressure upon me is high to disable SSLv3 support from the management.<br>
><br>
> Is there a workaround to enable this functionality on R14, or is there a patch<br>
> that<br>
> could be cleanly applied on a R14B04 otp release?<br>
><br>
> Best Regards,<br>
><br>
> Bogdan<br>
><br>
><br>
> On Mon, Oct 20, 2014 at 1:28 PM, Ingela Andin < <a href="mailto:ingela.andin@gmail.com" target="_blank">ingela.andin@gmail.com</a> > wrote:<br>
><br>
><br>
><br>
> Hi!<br>
><br>
><br>
> R14B04 is a really old release, time to upgrade I would say, featuring<br>
> ssl-4.X.Y, I think you are seeing a bug fixed in ssl- 5.3 Fixed Bugs and<br>
> Malfunctions<br>
><br>
><br>
>    *<br>
><br>
> Honor the versions option to ssl:connect and ssl:listen.<br>
><br>
> Own Id: OTP-10905<br>
><br>
> Regards Ingela Erlang/OTP team - Ericsson AB<br>
><br>
> 2014-10-20 10:26 GMT+02:00 Bogdan Andu < <a href="mailto:bog495@gmail.com" target="_blank">bog495@gmail.com</a> > :<br>
><br>
><br>
><br>
> Hello,<br>
><br>
> I am trying to dezactivate SSLv3 protocol and keep active only TLSv1 protocol<br>
> for an Erlang virtual machine using:<br>
> 1) command line switch:<br>
> erl ... -ssl protocol_version '[tlsv1]'<br>
> 2) pass to the ssl:listen/2 function the option: {versions, [tlsv1]}<br>
><br>
> Neither of the above has effect.<br>
><br>
> When starting the vm I see this:<br>
> (test@localhost)2> ssl:versions().<br>
> [{ssl_app,"4.1.6"},<br>
> {supported,[tlsv1]},<br>
> {available,[tlsv1,sslv3]}]<br>
> ( test@localhost) 3><br>
><br>
><br>
> however, when I execute the command:<br>
> $ openssl s_client -connect <a href="http://10.10.11.66:5151" target="_blank">10.10.11.66:5151</a> -ssl3<br>
> I see that the handshake is successful :<br>
> ..................<br>
><br>
> SSL handshake has read 2944 bytes and written 338 bytes<br>
> ---<br>
> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA<br>
> Server public key is 2048 bit<br>
> Secure Renegotiation IS supported<br>
> Compression: NONE<br>
> Expansion: NONE<br>
> SSL-Session:<br>
> Protocol : SSLv3<br>
> Cipher : DHE-RSA-AES256-SHA<br>
> Session-ID: A4B1A5AA7DE23C5691C8C982E5EC18F577561508F951778B7B5E19E468A91749<br>
> Session-ID-ctx:<br>
> Master-Key:<br>
> 4B04633A344F789EDB0B330BB2454EB7E19BF298461A440A04F1C6CE4F0772C02587B23127B966E84CF2571939AA4F3A<br>
> Key-Arg : None<br>
> Krb5 Principal: None<br>
> PSK identity: None<br>
> PSK identity hint: None<br>
> Start Time: 1413793000<br>
> Timeout : 7200 (sec)<br>
> Verify return code: 0 (ok)<br>
><br>
><br>
> The handshake shouldn't be successful.<br>
><br>
> But when I execute the command:<br>
> $ openssl s_client -connect <a href="http://10.10.11.66:5151" target="_blank">10.10.11.66:5151</a> -ssl2<br>
><br>
> No client certificate CA names sent<br>
> ---<br>
> SSL handshake has read 7 bytes and written 48 bytes<br>
> ---<br>
> New, (NONE), Cipher is (NONE)<br>
> Secure Renegotiation IS NOT supported<br>
> Compression: NONE<br>
> Expansion: NONE<br>
> SSL-Session:<br>
> Protocol : SSLv2<br>
> Cipher : 0000<br>
> Session-ID:<br>
> Session-ID-ctx:<br>
> Master-Key:<br>
> Key-Arg : None<br>
> Krb5 Principal: None<br>
> PSK identity: None<br>
> PSK identity hint: None<br>
> Start Time: 1413793132<br>
> Timeout : 300 (sec)<br>
> Verify return code: 0 (ok)<br>
> ---<br>
><br>
> The protocol is refused because is disabled by default.<br>
><br>
> The same thing I want to happen with SSLv3 protocol.<br>
><br>
> I don't know what I am missing.<br>
><br>
> What should I do to instruct the Erlang vm to accept ssl connections using only<br>
> TLSv1 protocol?<br>
><br>
> the version of vm is:<br>
><br>
> Erlang R14B04 (erts-5.8.5) [source] [64-bit] [smp:8:8] [rq:8] [async-threads:0]<br>
> [kernel-poll:false]<br>
><br>
> Thank you ,<br>
><br>
> Bogdan<br>
><br>
> _______________________________________________<br>
> erlang-questions mailing list<br>
> <a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
> <a href="http://erlang.org/mailman/listinfo/erlang-questions" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
><br>
><br>
><br>
><br>
><br>
> _______________________________________________<br>
> erlang-questions mailing list<br>
> <a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
> <a href="http://erlang.org/mailman/listinfo/erlang-questions" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
<br>
</div></div>--<br>
--<br>
Dipl. Inform.<br>
Andreas Schultz<br>
<br>
email: <a href="mailto:as@travelping.com" target="_blank">as@travelping.com</a><br>
phone: <a href="tel:%2B49-391-819099-224" value="+49391819099224" target="_blank">+49-391-819099-224</a><br>
mobil: <a href="tel:%2B49-170-2226073" value="+491702226073" target="_blank">+49-170-2226073</a><br>
<br>
------------------- enabling your networks -------------------<br>
<br>
Travelping GmbH               phone:         <a href="tel:%2B49-391-819099229" value="+49391819099229" target="_blank">+49-391-819099229</a><br>
Roentgenstr. 13               fax:           <a href="tel:%2B49-391-819099299" value="+49391819099299" target="_blank">+49-391-819099299</a><br>
D-39108 Magdeburg             email:       <a href="mailto:info@travelping.com" target="_blank">info@travelping.com</a><br>
GERMANY                       web:   <a href="http://www.travelping.com" target="_blank">http://www.travelping.com</a><br>
<br>
Company Registration: Amtsgericht Stendal Reg No.:   HRB 10578<br>
Geschaeftsfuehrer: Holger Winkelmann | VAT ID No.: DE236673780<br>
--------------------------------------------------------------<br>
</blockquote></div><br></div>
</div></div></blockquote></div></div></div><br></div></div>
</blockquote></div><br></div>