<div dir="ltr">I<br><div class="gmail_quote"><div dir="ltr">On Tue, Aug 11, 2015 at 9:54 AM Ingela Andin <<a href="mailto:ingela.andin@gmail.com">ingela.andin@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi!<br><br><div><div class="gmail_extra"><div class="gmail_quote"></div></div></div></div><div dir="ltr"><div><div class="gmail_extra"><div class="gmail_quote">2015-07-16 11:16 GMT+02:00 Alex Hudich <span dir="ltr"><<a href="mailto:alttagil@gmail.com" target="_blank">alttagil@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi!<br>
<br>
<br>
<br>
wget <a href="http://curl.haxx.se/ca/cacert.pem" rel="noreferrer" target="_blank">http://curl.haxx.se/ca/cacert.pem</a><br>
<br>
and then<br>
<br>
ssl:connect( "<a href="http://www.nicemine.ru" rel="noreferrer" target="_blank">www.nicemine.ru</a>", 443, [{verify,verify_peer},{server_name_indication,"<a href="http://www.nicemine.ru" rel="noreferrer" target="_blank">www.nicemine.ru</a>"},{depth,2},{cacertfile,"cacert.pem"}] ).<br>
<br>
gives me {error,{tls_alert,"bad certificate"}}<br>
<br>
<br>
<br></blockquote><div><br></div></div></div></div></div><div dir="ltr"><div><div class="gmail_extra"><div class="gmail_quote"><div>This site is not sending a correct certificate chain,  I get all the certificates that shall be in the chain but scrambled around and not in the correct order, this is breaking the <br></div><div>SSL/TLS-protocol. OpenSSL will also get the error above when trying to verify that chain, but later versions of OpenSSL and also other implementations obviously tries to work around this by attempting to sort them and run the validation again. <br></div><div><br></div><div>You could do that too using the verify_fun if you really want to. We would rather not make that a default feature as breaking security protocols is usually a bad idea that could lead to vulnerabilities.<br><br> <br></div><div>Regards Ingela Erlang/OTP Team - Ericsson AB<br></div></div></div></div></div><div dir="ltr"><div><div class="gmail_extra"><div class="gmail_quote"><div><br></div></div></div></div></div></blockquote><div><br></div><div><br></div><div>I have the same issue on another host: <a href="http://rest-api.pay.nl">rest-api.pay.nl</a>:</div><div><br></div><div><div>15> ssl:connect( "<a href="http://rest-api.pay.nl">rest-api.pay.nl</a>", 443, [{verify,verify_peer},{server_name_indication,"<a href="http://rest-api.pay.nl">rest-api.pay.nl</a>"},{depth,2},{cacertfile, "priv/ca-bundle.crt"}] ).</div><div><br></div><div>=ERROR REPORT==== 10-Sep-2015::11:01:31 ===</div><div>SSL: certify: ssl_handshake.erl:1476:Fatal error: bad certificate</div><div>{error,{tls_alert,"bad certificate"}}</div></div><div><br></div><div><br></div><div>the chain looks correct for me and curl handle it without issue. What do you mean by sorting certificates ? Any example?</div><div><br></div><div>- benoit</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div class="gmail_extra"><div class="gmail_quote"><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Why? Site can be opened ok in the browser.<br>
<br>
Erlang/OTP 17 [erts-6.3]<br>
<br>
<br>
_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
</blockquote></div></div></div></div>
_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
</blockquote></div></div>