ssl-cert-check für XMPP mit starttls

04/11/2015 - 21:29 von Paul Muster | Report spam
Tach,

mit ssl-cert-check[1] kann man sehr komfortabel die diversen
Serverdienste auf ablaufende Zertifikate überwachen. Für bisher alle
Dienste hier[tm] klappt das prima, auch für SMTP mit STARTTLS.

Für Jabber/XMPP (ebenfalls mit STARTTLS) leider nicht. Das liegt erstmal
daran, dass ssl-cert-check darauf nicht vorbereitet ist - was man aber
leicht nachrüsten kann:

add these two blocks at row 468 of version 3.28:

elif [ "_${2}" = "_jabber-client" -o "_${2}" = "_5222" ]
then
TLSFLAG="-starttls xmpp"

elif [ "_${2}" = "_jabber-server" -o "_${2}" = "_5269" ]
then
TLSFLAG="-starttls xmpp"

Dann jedoch stellt man fest, dass s_client (Subbefehl von openssl)
ebenfalls nicht mit STARTTLS bei Jabber umgehen kann. Laut man-page
jedenfalls:

| the only supported keywords are "smtp", "pop3", "imap", and "ftp".

So ganz richtig ist das nicht, das Tool versteht durchaus auch das
keyword xmpp:

$ openssl s_client -connect <FQDN>:5222 -starttls xmpp
CONNECTED(00000003)
^C
$

Tja, so, da steht es nun und es passiert nix weiter.

Wirft man "s_client xmpp starttls" in eine Suchmaschine, kommt man zu
einem gut abgehangenen (3 Jahre) Bugreport inkl. Patch:
https://rt.openssl.org/Ticket/Display.html?id(60&user=guest&pass=guest

In "meinem" OpenSSL allerdings scheint der noch nicht angekommen, habe
ich den Eindruck:

$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
$

Ahja. https://bugs.debian.org/cgi-bin/bug...i?bugg1672

Traurig.


Viele Grüße

Paul

[1] http://prefetch.net/articles/checkcertificate.html
http://prefetch.net/code/ssl-cert-check
 

Lesen sie die antworten

#1 Juergen P. Meier
05/11/2015 - 05:59 | Warnen spam
Paul Muster :
Wirft man "s_client xmpp starttls" in eine Suchmaschine, kommt man zu
einem gut abgehangenen (3 Jahre) Bugreport inkl. Patch:



Ich finde: http://openssl.org/docs/manmaster/a...lient.html

dort:

|-starttls protocol
|
|send the protocol-specific message(s) to switch to TLS for
|communication. protocol is a keyword for the intended protocol.
|Currently, the only supported keywords are "smtp", "pop3", "imap",
|"ftp", "xmpp", and "xmpp-server".
|-xmpphost hostname
|
|This option, when used with "-starttls xmpp" or "-starttls
|xmpp-server", specifies the host for the "to" attribute of the stream
|element. If this option is not specified, then the host specified with
|"-connect" will be used.

In "meinem" OpenSSL allerdings scheint der noch nicht angekommen, habe
ich den Eindruck:



man s_client

Fuer XMPP muss s_client zuerst plausieblen XML Muell an den SErver
schicken dass der auch einen Stream erzeugt, um dann das TLS-Stanza
fuer die Einleitung der TLS-negotiation senden zu koennen.

https://github.com/openssl/openssl/...s_client.c

Zeile 1460 ff.

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen