
<div dir="ltr">Hi!<br><div class="gmail_extra"><br><div class="gmail_quote">2014-10-20 16:44 GMT+02:00 Bogdan Andu <span dir="ltr"><<a href="mailto:bog495@gmail.com" target="_blank">bog495@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Thank you both for help,<br><br></div>I definitely look into both solutions, the -define one looking the easiest.<br><br></div><div>So, if I define de following as:<br><br>-define(DEFAULT_SUPPORTED_VERSIONS, [tlsv1]).<br><br></div><div>and recompile otp R14<br></div><div>there should be available only tlsv1 I presume.<br></div><div><br></div>Thank you very much,<br><br></div></div></blockquote><div><br></div><div><br></div><div>Well yes Andreas has a point that this would have the desired affect.  It does not fix the bug, but as in your case of R14, disabling sslv3  would leave one version of the protocol, </div><div>so I guess that would be acceptable.</div><div><br></div><div><br></div><div>Regards Ingela Erlang/OTP team - Ericsson AB</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div></div>Bogdan<br><div><div><div><br><br></div></div></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 20, 2014 at 5:02 PM, Andreas Schultz <span dir="ltr"><<a href="mailto:aschultz@tpip.net" target="_blank">aschultz@tpip.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>

<span><br>

----- On 20 Oct, 2014, at 15:17, Ingela Andin <a href="mailto:ingela.andin@gmail.com" target="_blank">ingela.andin@gmail.com</a> wrote:<br>

<br>

> The commit that solves the problem is:<br>

><br>

> bfb408ae3d424bf8f510806434eb14a730adc4fb<br>

><br>

> How easy it is to port it to R14 I do not know, but I think doing so is proably<br>

> your best option if you can not<br>

> upgrade.<br>

<br>

</span>Instead of back-porting, you could always adjust this define in<br>

ssl_internal.hrl:<br>

<br>

-define(DEFAULT_SUPPORTED_VERSIONS, [tlsv1, sslv3]).<br>

<br>

Andreas<br>

<div><div><br>

><br>

> Regards Ingela Erlang/OTP Team - Ericsson AB<br>

><br>

> 2014-10-20 13:42 GMT+02:00 Bogdan Andu < <a href="mailto:bog495@gmail.com" target="_blank">bog495@gmail.com</a> > :<br>

><br>

><br>

><br>

> Hi Ingela,<br>

><br>

> Thank you for reply so quickly.<br>

><br>

> You are right, R14 is rather old, but in the near future this is my only option<br>

> to run my<br>

> production application server that servers ssl connections as this is a per<br>

> policy decision<br>

> and the pressure upon me is high to disable SSLv3 support from the management.<br>

><br>

> Is there a workaround to enable this functionality on R14, or is there a patch<br>

> that<br>

> could be cleanly applied on a R14B04 otp release?<br>

><br>

> Best Regards,<br>

><br>

> Bogdan<br>

><br>

><br>

> On Mon, Oct 20, 2014 at 1:28 PM, Ingela Andin < <a href="mailto:ingela.andin@gmail.com" target="_blank">ingela.andin@gmail.com</a> > wrote:<br>

><br>

><br>

><br>

> Hi!<br>

><br>

><br>

> R14B04 is a really old release, time to upgrade I would say, featuring<br>

> ssl-4.X.Y, I think you are seeing a bug fixed in ssl- 5.3 Fixed Bugs and<br>

> Malfunctions<br>

><br>

><br>

>    *<br>

><br>

> Honor the versions option to ssl:connect and ssl:listen.<br>

><br>

> Own Id: OTP-10905<br>

><br>

> Regards Ingela Erlang/OTP team - Ericsson AB<br>

><br>

> 2014-10-20 10:26 GMT+02:00 Bogdan Andu < <a href="mailto:bog495@gmail.com" target="_blank">bog495@gmail.com</a> > :<br>

><br>

><br>

><br>

> Hello,<br>

><br>

> I am trying to dezactivate SSLv3 protocol and keep active only TLSv1 protocol<br>

> for an Erlang virtual machine using:<br>

> 1) command line switch:<br>

> erl ... -ssl protocol_version '[tlsv1]'<br>

> 2) pass to the ssl:listen/2 function the option: {versions, [tlsv1]}<br>

><br>

> Neither of the above has effect.<br>

><br>

> When starting the vm I see this:<br>

> (test@localhost)2> ssl:versions().<br>

> [{ssl_app,"4.1.6"},<br>

> {supported,[tlsv1]},<br>

> {available,[tlsv1,sslv3]}]<br>

> ( test@localhost) 3><br>

><br>

><br>

> however, when I execute the command:<br>

> $ openssl s_client -connect <a href="http://10.10.11.66:5151" target="_blank">10.10.11.66:5151</a> -ssl3<br>

> I see that the handshake is successful :<br>

> ..................<br>

><br>

> SSL handshake has read 2944 bytes and written 338 bytes<br>

> ---<br>

> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA<br>

> Server public key is 2048 bit<br>

> Secure Renegotiation IS supported<br>

> Compression: NONE<br>

> Expansion: NONE<br>

> SSL-Session:<br>

> Protocol : SSLv3<br>

> Cipher : DHE-RSA-AES256-SHA<br>

> Session-ID: A4B1A5AA7DE23C5691C8C982E5EC18F577561508F951778B7B5E19E468A91749<br>

> Session-ID-ctx:<br>

> Master-Key:<br>

> 4B04633A344F789EDB0B330BB2454EB7E19BF298461A440A04F1C6CE4F0772C02587B23127B966E84CF2571939AA4F3A<br>

> Key-Arg : None<br>

> Krb5 Principal: None<br>

> PSK identity: None<br>

> PSK identity hint: None<br>

> Start Time: 1413793000<br>

> Timeout : 7200 (sec)<br>

> Verify return code: 0 (ok)<br>

><br>

><br>

> The handshake shouldn't be successful.<br>

><br>

> But when I execute the command:<br>

> $ openssl s_client -connect <a href="http://10.10.11.66:5151" target="_blank">10.10.11.66:5151</a> -ssl2<br>

><br>

> No client certificate CA names sent<br>

> ---<br>

> SSL handshake has read 7 bytes and written 48 bytes<br>

> ---<br>

> New, (NONE), Cipher is (NONE)<br>

> Secure Renegotiation IS NOT supported<br>

> Compression: NONE<br>

> Expansion: NONE<br>

> SSL-Session:<br>

> Protocol : SSLv2<br>

> Cipher : 0000<br>

> Session-ID:<br>

> Session-ID-ctx:<br>

> Master-Key:<br>

> Key-Arg : None<br>

> Krb5 Principal: None<br>

> PSK identity: None<br>

> PSK identity hint: None<br>

> Start Time: 1413793132<br>

> Timeout : 300 (sec)<br>

> Verify return code: 0 (ok)<br>

> ---<br>

><br>

> The protocol is refused because is disabled by default.<br>

><br>

> The same thing I want to happen with SSLv3 protocol.<br>

><br>

> I don't know what I am missing.<br>

><br>

> What should I do to instruct the Erlang vm to accept ssl connections using only<br>

> TLSv1 protocol?<br>

><br>

> the version of vm is:<br>

><br>

> Erlang R14B04 (erts-5.8.5) [source] [64-bit] [smp:8:8] [rq:8] [async-threads:0]<br>

> [kernel-poll:false]<br>

><br>

> Thank you ,<br>

><br>

> Bogdan<br>

><br>

> _______________________________________________<br>

> erlang-questions mailing list<br>

> <a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>

> <a href="http://erlang.org/mailman/listinfo/erlang-questions" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>

><br>

><br>

><br>

><br>

><br>

> _______________________________________________<br>

> erlang-questions mailing list<br>

> <a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>

> <a href="http://erlang.org/mailman/listinfo/erlang-questions" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>

<br>

</div></div>--<br>

--<br>

Dipl. Inform.<br>

Andreas Schultz<br>

<br>

email: <a href="mailto:as@travelping.com" target="_blank">as@travelping.com</a><br>

phone: <a href="tel:%2B49-391-819099-224" value="+49391819099224" target="_blank">+49-391-819099-224</a><br>

mobil: <a href="tel:%2B49-170-2226073" value="+491702226073" target="_blank">+49-170-2226073</a><br>

<br>

------------------- enabling your networks -------------------<br>

<br>

Travelping GmbH               phone:         <a href="tel:%2B49-391-819099229" value="+49391819099229" target="_blank">+49-391-819099229</a><br>

Roentgenstr. 13               fax:           <a href="tel:%2B49-391-819099299" value="+49391819099299" target="_blank">+49-391-819099299</a><br>

D-39108 Magdeburg             email:       <a href="mailto:info@travelping.com" target="_blank">info@travelping.com</a><br>

GERMANY                       web:   <a href="http://www.travelping.com" target="_blank">http://www.travelping.com</a><br>

<br>

Company Registration: Amtsgericht Stendal Reg No.:   HRB 10578<br>

Geschaeftsfuehrer: Holger Winkelmann | VAT ID No.: DE236673780<br>

--------------------------------------------------------------<br>

</blockquote></div><br></div>

</div></div></blockquote></div><br></div></div>