<div dir="ltr">Hi!<br><br><div><div class="gmail_extra"><br><div class="gmail_quote">2018-05-03 18:08 GMT+02:00 Loïc Hoguin <span dir="ltr"><<a href="mailto:essen@ninenines.eu" target="_blank">essen@ninenines.eu</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<span class=""><br>
<br>
On 05/03/2018 01:54 PM, Loïc Hoguin wrote:<br>
</span><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
* SSL is broken. See [1] for example. I can see the same thing happening on 5 different Linux distributions (with different OpenSSL versions) and on OSX. A quick try in the shell is not much better:<br>
</blockquote>
<br></span></blockquote><div><br></div><div>Thank you for shouting, that is what the release candidate is for. So we can catch the problems early!<br></div><div><br><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""></span>
OK it's just a very misleading error message I think.<br></blockquote><div><br><br></div><div>Well that depends, this is not really an error message that you should get unless you have a buggy or malicious client. But of course now we might be getting it due to a bug and then<br></div><div>it could be misleading!<br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Switching my server's test keys from RSA to DSA fixes it so I think this issue is caused by:<br>
<br>
  OTP-14769    Application(s): ssl<br>
<br>
               For security reasons RSA-key exchange cipher suites are<br>
               no longer supported by default<br></blockquote><div><br><br></div><div>I do not really suspect this change. RSA-certificates are still supported. Just cipher suites using RSA encryption/decryption in the key exchange process are not supported.<br></div><div>When you switched to a DSA-certificate an other cipher suite was picked that did not expose the problem.  If there had been no common cipher suites you would have got another error.<br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Still, it probably should provide a more helpful error message than this:<br>
<br>
*** System report during acceptor_SUITE:ssl_echo/1 in ssl 2018-05-03 11:13:04.343 ***<br>
=INFO REPORT==== 3-May-2018::11:13:04.342940 ===<br>
TLS server: In state hello at tls_handshake.erl:130 generated SERVER ALERT: Fatal - Handshake Failure - malformed_handshake_data<br>
<br>
*** System report during acceptor_SUITE:ssl_echo/1 in ssl 2018-05-03 11:13:04.348 ***<br>
=INFO REPORT==== 3-May-2018::11:13:04.348265 ===<br>
TLS client: In state hello received SERVER ALERT: Fatal - Handshake Failure<br>
<br>
"malformed_handshake_data" sounds like the client would have sent a malformed handshake, ie bad data, when the actual issue seems to be that the certificate configured is no longer supported. The server generating an alert about its own certificate doesn't sound quite right either.<br>
<br>
That being said I do not really know the intent so I'm guessing a bit. All I know for sure is that it's confusing.<br>
<br></blockquote><div><br><br></div><div>This error is consistent with one of the errors I am seeing in the nightly builds when running OpenSSL with only default parameters so I suspect something is off in combination<br></div><div>version negotiation and cipher suite selection checks. I am looking in to it!<br></div><div><br></div><div>Regards Ingela Erlang/OTP Team <br></div><div><br><br><br><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Cheers,<div class="HOEnZb"><div class="h5"><br>
<br>
-- <br>
Loïc Hoguin<br>
<a href="https://ninenines.eu" rel="noreferrer" target="_blank">https://ninenines.eu</a><br>
______________________________<wbr>_________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/list<wbr>info/erlang-questions</a><br>
</div></div></blockquote></div><br></div></div></div>