abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
dnes 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
včera 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
včera 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
včera 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
včera 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 808 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Chyba v SSL u PostgreSQL

6.9.2008 15:19 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Chyba v SSL u PostgreSQL
Přečteno: 550×

Ahoj, právě jsem narazil na problém, který mi pije krev. Prosím o jakoukoliv radu, případně o potvrzení, že by mohlo jít o bug.

Už pár měsíců používám ke správě databáze PostgreSQL buď PgAdmin III, nebo jednoduše psql. V obou případech používám SSL. Certifikáty na serveru i na klientovi platí přinejmenším do března roku 2009. Certifikát autority platí do roku 2011. Až do včerejška vše bezvadně fungovalo.

Teď mi PgAdmin i psql hlásí, že certifikát vypršel. To je samozřejmě naprostý nesmysl. (Pro jistotu jsem všechny certifikáty ještě jednou zkontroloval.) To jsou přesně ty chybové hlášky, které mě dokážou pořádně vytočit. Který certifikát vypršel??? Tento detail v té hlášce chybí.

Nejspíš jde o hlášku přímo od knihovny OpenSSL, kterou se PgAdmin ani psql nesnaží nijak interpretovat a prostě ji tupě vypíší do okna, resp. na terminál:

Error connecting to the server: SSL error: sslv3 alert certificate expired

Dá se z toho psql získat nějaký debuggovací výpis, aby bylo jasné, který certifikát má být údajně prošlý a co přesně dělá OpenSSL?

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ

Odpovědi

6.9.2008 15:47 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Chyba v SSL u PostgreSQL

Tak už jsem na to přišel... To není bug, to je feature.

Až dosud se na straně klienta nekontrolovala pravost certifikátu serveru. (!!!) Proto se ve většině howto vůbec nehovořilo o tom, že by soubory root.crt a root.crl, které jinak jsou na straně serveru, měly být k dispozici také na straně klienta. Nějaká poslední verze psql už zřejmě pravost certifikátu serveru kontroluje.

Místo aby klient řekl „Nemůžu ověřit pravost certifikátu serveru, protože nemám certifikát autority“, řekne „Platnost certifikátu vypršela“. A uživatel se může vzteky zbláznit.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
7.9.2008 00:32 FooBar
Rozbalit Rozbalit vše Re: Chyba v SSL u PostgreSQL
No, nevztekal bych se tak moc, vyflusnout error z openssl 1:1 bez snahy o interpretaci je pomerne bezny.

Problemy se SSL se v tomhle smeru debugujou na strane klienta o dost snaz pres openssl s_client s pripadnou extra verbositou.
8.10.2008 00:03 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Chyba v SSL u PostgreSQL

Tak ale hernajs! Po doplnění těch chybějících souborů to měsíc fungovalo a teď to přestalo fungovat samo od sebe, aniž bych cokoliv aktualizoval nebo změnil. Tak teď je to teprve pořádně k vzteku. Předtím aspoň existovalo nějaké rozumné vysvětlení. Teď to prostě bezdůvodně nefunguje. Stejná idiotská hláška, jen s tím rozdílem, že tentokrát tam všechny požadované soubory mám.

PostgreSQL je skvělá databáze, což ale není moc platné, když pgadmin3 sucks a psql sucks.

>
ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
8.10.2008 00:22 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Chyba v SSL u PostgreSQL

A ejhle, je tu nový repertoár. Po rebootu klienta (uptime cca 1 den) se prozměnu objevuje:

psql: SSL error: certificate verify failed

Prostě když něco sucks, tak to sucks pořádně.

>
ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
13.10.2008 00:10 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše A vyřešeno, snad už napořád

Tak tohle byl prosím pěkně zase stejný případ jako minule. Stačilo by vysypat hlášku The fucking CRL has expired, get a new one, dude! Ušetřilo by mi to dva dny času a dva dny vzteku.

Místo toho jsem viděl střídavě hlášky certificate verify failed a sslv3 alert certificate expired. Místo abych se zaměřil na CRL, desetkrát jsem kontroloval certifikáty, pětkrát kompiloval OpenSSL a přidával do něj debuggovací výpisy a mlátil vzteky hlavou o strop.

Stačilo vygenerovat znovu CRL a přidat tohle do cronu, aby už takový problém prostě nenastal.

BTW, věděli jste, že CRL může vypršet? Víte, že implicitní doba platnosti CRL (v případě OpenSSL) je jeden měsíc? Já jsem o tom slyšel poprvé až teď... A to už dobré dva roky používám nejrůznější podpisy a šifrování.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
13.10.2008 09:58 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: A vyřešeno, snad už napořád
On může nějaký CRL nevypršet? CRL má nastaveno datum a čas, do kdy má vyjít další CRL, a pochybuji o tom, že lze toto CRL nenastavit. Bez pravidelné aktualizace postrádá CRL smysl.
13.10.2008 10:22 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: A vyřešeno, snad už napořád

To už teď vím taky. Předtím mě prostě nikdy nenapadlo spouštět něco jako openssl crl -text, takže jsem netušil, že tam je taky nějaké datum a že to vyprší, podobně jako certifikát. Jasně, je to logické, protože mít staré CRL může znamenat bezpečnostní problém.

Proč ovšem OpenSSL tvrdí, že vypršel certifikát, když je problém pouze s CRL, to mi zůstývá záhadou. To přece nedává smysl. Druhé tvrzení, že selhalo ověření certifikátu, je mnohem blíž pravdě, protože bez aktuální CRL se nedá certifikát ověřit. Jenže proč to prostě neřekne? V žádné z těch hlášek nebylo klíčové slovo CRL. Selhalo to a hotovo. Prostě některý z těch certifikátů z nějakého důvodu nelze ověřit.

A vůbec, prase aby se v tom vyznalo! (Teď jsem potkal jedno na ulici. Jmenuje se Kvido a sousedi ho mají jako domácího mazlíčka.)

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
13.10.2008 10:31 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: A vyřešeno, snad už napořád
Předpokládám, že jsou to nějaké relativně obecné chybové kódy, které vrací OpenSSL knihovna, a aplikace už z toho nemůže vyzkoumat, co přesně bylo příčinou. Z dokumentace OpenSSL je vidět, že každá funkce vrací pouze pár chybových kódů, takže je jasné, že se tam prostě nevejde moc detailů, co přesně selhalo.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.