<div dir="ltr"><div>Hi!<br><br></div><div>The alert you get means that the client and server had no cipher suites in common.<br></div><div><br>You can use<br><br>io:format("~p", [ssl:cipher_suites(openssl)]). <br>io:format("~p", [ssl:cipher_suites(erlang)]). <br><br></div>(io:format as the lists returned might be long and truncated)<br><div><br></div><div>to find out what cipher suites that are available on your erlang node.<br></div><div>It can differ depending on what openSSL crypto library that the crypto application is linked to.<br><br></div><div>Regards Ingela Erlang/OTP team - Ericsson AB<br></div><div><br></div><div><br><div><div><div class="gmail_extra"><br><div class="gmail_quote">2015-01-22 23:42 GMT+01:00 Bernd May <span dir="ltr"><<a href="mailto:bm@dv-team.de" target="_blank">bm@dv-team.de</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi List,<br>
<br>
I have spent the past two days fiddling with erlang for the first time<br>
in my life mainly because I want to use rabbitMQ in what seems to be a<br>
yet more unusual way. During that fiddling I have encountered an error<br>
that I have a hard time debugging. Here is the scenario:<br>
<br>
Whenever I try to configure RabbitMQ to use SSL with PFS ciphers (that<br>
is DHE and ECDHE) only I receive the following error:<br>
<br>
=ERROR REPORT==== 21-Jan-2015::20:16:30 ===<br>
SSL: hello: tls_handshake.erl:116:Fatal error: insufficient security<br>
<br>
Now I thought this might be some sort of error due to the source of<br>
rabbitMQ so to rule that out I wrote a small erlang program to test ssl<br>
according to the manual here<br>
<a href="http://www.erlang.org/doc/apps/ssl/using_ssl.html" target="_blank">http://www.erlang.org/doc/apps/ssl/using_ssl.html</a> . Unfortunately to no<br>
avail. Whenever I set the ciphers option to only include PFS ciphers I<br>
receive the same error. If I include aes256,sha256 for example, the<br>
connection setup works, using that cipher.<br>
<br>
Some searching around the web and on the OpenSSL site about the error<br>
code got me the conclusion that there is something wrong with the cipher<br>
negotiation between client and server. So on to wireshark and let's see<br>
what happens there - nope the client sends the correct cipher set,<br>
whether I use openssl s_client or a sample erlang ssl program. The<br>
server hower simply sends the above tls alert and closes the connection.<br>
This led me to the conclusion that the server cipher list is either<br>
empty or the matching between my sent list and the serverlist does not<br>
work. (Yes i tested a simple openssl s_client to s_server connection<br>
with the PFS cipher only - that works flawlessly)<br>
<br>
Unfortunately I have so far been unsuccessfull in debugging said part of<br>
the connection setup. I have tried my way around the dbg application but<br>
since I am more or less a newbee to erlang my attempts have been in<br>
vain. Which is why I finally write to the list:<br>
<br>
* How can I further debug this problem? Maybe a suggestion on the server<br>
code I used so far, posted here <a href="http://pastebin.com/ZfAtnSbU" target="_blank">http://pastebin.com/ZfAtnSbU</a><br>
* Anyone got a hint why this does not work? Please have a look at the<br>
pastebin.<br>
<br>
I am running R17.4 and R16B03, on Ubuntu 14.04. Both incur the described<br>
problem.<br>
<br>
Many thanks in advance.<br>
<span class=""><font color="#888888"><br>
--<br>
Bernd May<br>
<br>
</font></span><br>_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
<br></blockquote></div><br></div></div></div></div></div>