RFC5746
Отлаживал на днях один сервис. Curl при заходе на веб-сайт выругался типа
OpenSSL/3.0.9: error:0A000152:SSL routines::unsafe legacy renegotiation disabled
Пошел смотреть что это. Оказывается, сервер не умеет в RFC5746. Что это такое и зачем оно нужно, есть неплохая статья вот здесь, и даже на русском.
Шосукахарактерно, данный RFC был выпущен ещё в далёком 2010-м году. И дваждысукахарактерно, что отлаживаемый сервер принадлежит одному из российских ОПСОСов из состава "большой четвёрки". Не уверен на 100%, но по-моему у них там терминация TLS происходит на Citrix NetScaler. То ли Citrix г...но, то ли его не обновляли очень давно. Не знаю. Но вообще серьёзным дядькам должно быть стыдно за такое. Зато, как водится, штат "безопасников", регламенты, приказы, согласования и всё вот это, как мы любим...
Чтобы подставить костыль на стороне клиента, надо в "/etc/ssl/openssl.cnf" дописать вот такое.
[openssl_init]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
Options = UnsafeLegacyServerConnect
Смотрите внимательно, потому что секция "[openssl_init]" скорее всего в конфиге уже есть.
И чтоб два раза не вставать.
Вот тут тов. nixxl негодовал на тему всяких упырей, не обновляющих своевременно софт на DNS-серверах. Тут случайно попался хороший прям хрестоматийный пример таковых: https://www.kommersant.ru/ . Причём, они не у "Ру-центра" хостятся. Так что если у вас не окрывается веб-сайт этой газетёнки, не спешите крыть матом своего провайдера. Дело было не в бобине...