Bug 56869

Summary:	Не работает версия 3.4.5 (ERR_SSL_VERSION_OR_CIPHER_MISMATCH на множестве сайтов)
Product:	Sisyphus	Reporter:	Vyacheslav Dikonov <slava>
Component:	openssl	Assignee:	Gleb F-Malinovskiy <glebfm>
Status:	CLOSED FIXED	QA Contact:	qa-sisyphus
Severity:	normal
Priority:	P5	CC:	glebfm
Version:	unstable
Hardware:	x86_64
OS:	Linux

Description Vyacheslav Dikonov 2025-11-15 21:31:14 MSK

14.11.2025 обновлен Сизиф и с обновлением прилетели openssl-3.5.4-alt1.x86_64, libssl3-3.5.4-alt1.x86_64 и chromium-142.0.7444.162-alt1.x86_64.

После этого все браузеры (chromium, yandex и firefox) не могут открыть половину Интернета.  Вместо сайтов chromium и yandex выдают 'ERR_SSL_VERSION_OR_CIPHER_MISMATCH'. Firefox показывает белую страницу и "Выполнение TLS рукопожатия", а потом "Время ожидания соединения истекло".  

При запуске chromium из терминала видны повторяющиеся ошибки:

'
[2881:2889:1115/210636.718489:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -107
[2881:2889:1115/210636.748810:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -107
[2881:2889:1115/210724.588231:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -113
[2881:2889:1115/210724.637819:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -113
[2881:2889:1115/210724.639575:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -113
...
'


Примеры сайтов, которые перестали открываться:

https://rzd.ru   (открывает только http, но не https)
https://stackoverflow.com
https://lyngsat.com

и многие другие.

Comment 1 Vyacheslav Dikonov 2025-11-15 21:37:52 MSK

Совет данный andy@altlinux.org в ответе на ошибочно? повешенный на chromium баг 56865

''
7 ноября обновился libssl3, скорее всего, отключили старые шифры.
  Возможно, поможет что-то типа:

CipherString = DEFAULT@SECLEVEL=0
MinProtocol = TLSv1

  в /etc/openssl/openssl.cnf
''

Не помогает (или я неверно его применяю). 
Поскольку таких параметров в /etc/openssl/openssl.cnf нет, и andy не сказал, в какую [секцию] файла их надо помещать, я добавил их в начало вне секций. Это правильно?

Comment 2 Vyacheslav Dikonov 2025-11-15 23:54:45 MSK

Откат Сизифа на версию от 6 ноября (openssl-3.3.3-alt1.x86_64) тоже не помогает. Те же самые ошибки снова повторяются.

Comment 3 Vyacheslav Dikonov 2025-11-15 23:56:32 MSK

Проблема возникла в процессе обновления Сизифа.

Comment 4 Vyacheslav Dikonov 2025-11-16 12:23:59 MSK

По найденным рекомендациям из интернета (а большая часть профильных сайтов недоступна из-за этой ошибки) создал в openssl.cnf секцию [system_default_sect] и переместил рекомендованные строки в нее.  Бесполезно

Далее попробовал конструкцию для включения TLS1.0
'
[openssl_init]
providers = provider_sect
ssl_conf = ssl_sect

[ssl_sect]
system_default = system_default_sect

[system_default_sect]
MinProtocol = TLSv1.0
CipherString = ALL@SECLEVEL=0
'
Бесполезно.


Нашел тестовую команду openssl s_client. Оказалось, что она дает ошибку:
'
$ openssl s_client
80D2E58E817F0000:error:8000006F:system library:BIO_connect:Connection refused:crypto/bio/bio_sock2.c:178:calling connect()
80D2E58E817F0000:error:10000067:BIO routines:BIO_connect:connect error:crypto/bio/bio_sock2.c:180:
80D2E58E817F0000:error:8000006F:system library:BIO_connect:Connection refused:crypto/bio/bio_sock2.c:178:calling connect()
80D2E58E817F0000:error:10000067:BIO routines:BIO_connect:connect error:crypto/bio/bio_sock2.c:180:
connect:errno=111
'

Так что же у меня удалилось при обновлении?

Comment 5 Vyacheslav Dikonov 2025-11-16 12:34:25 MSK

Если задать сайт, то 

$ openssl s_client -connect stackoverflow.com 

бесконечно висит и ничего не сообщает.

Comment 6 Vyacheslav Dikonov 2025-11-19 19:19:36 MSK

Нашлась причина! Криво настроенный zapret на роутере мешал. Странно, что до обновления не проявлялось.