14.11.2025 обновлен Сизиф и с обновлением прилетели openssl-3.5.4-alt1.x86_64, libssl3-3.5.4-alt1.x86_64 и chromium-142.0.7444.162-alt1.x86_64. После этого все браузеры (chromium, yandex и firefox) не могут открыть половину Интернета. Вместо сайтов chromium и yandex выдают 'ERR_SSL_VERSION_OR_CIPHER_MISMATCH'. Firefox показывает белую страницу и "Выполнение TLS рукопожатия", а потом "Время ожидания соединения истекло". При запуске chromium из терминала видны повторяющиеся ошибки: ' [2881:2889:1115/210636.718489:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -107 [2881:2889:1115/210636.748810:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -107 [2881:2889:1115/210724.588231:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -113 [2881:2889:1115/210724.637819:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -113 [2881:2889:1115/210724.639575:ERROR:net/socket/ssl_client_socket_impl.cc:916] handshake failed; returned -1, SSL error code 1, net_error -113 ... ' Примеры сайтов, которые перестали открываться: https://rzd.ru (открывает только http, но не https) https://stackoverflow.com https://lyngsat.com и многие другие.
Совет данный andy@altlinux.org в ответе на ошибочно? повешенный на chromium баг 56865 '' 7 ноября обновился libssl3, скорее всего, отключили старые шифры. Возможно, поможет что-то типа: CipherString = DEFAULT@SECLEVEL=0 MinProtocol = TLSv1 в /etc/openssl/openssl.cnf '' Не помогает (или я неверно его применяю). Поскольку таких параметров в /etc/openssl/openssl.cnf нет, и andy не сказал, в какую [секцию] файла их надо помещать, я добавил их в начало вне секций. Это правильно?
Откат Сизифа на версию от 6 ноября (openssl-3.3.3-alt1.x86_64) тоже не помогает. Те же самые ошибки снова повторяются.
Проблема возникла в процессе обновления Сизифа.
По найденным рекомендациям из интернета (а большая часть профильных сайтов недоступна из-за этой ошибки) создал в openssl.cnf секцию [system_default_sect] и переместил рекомендованные строки в нее. Бесполезно Далее попробовал конструкцию для включения TLS1.0 ' [openssl_init] providers = provider_sect ssl_conf = ssl_sect [ssl_sect] system_default = system_default_sect [system_default_sect] MinProtocol = TLSv1.0 CipherString = ALL@SECLEVEL=0 ' Бесполезно. Нашел тестовую команду openssl s_client. Оказалось, что она дает ошибку: ' $ openssl s_client 80D2E58E817F0000:error:8000006F:system library:BIO_connect:Connection refused:crypto/bio/bio_sock2.c:178:calling connect() 80D2E58E817F0000:error:10000067:BIO routines:BIO_connect:connect error:crypto/bio/bio_sock2.c:180: 80D2E58E817F0000:error:8000006F:system library:BIO_connect:Connection refused:crypto/bio/bio_sock2.c:178:calling connect() 80D2E58E817F0000:error:10000067:BIO routines:BIO_connect:connect error:crypto/bio/bio_sock2.c:180: connect:errno=111 ' Так что же у меня удалилось при обновлении?
Если задать сайт, то $ openssl s_client -connect stackoverflow.com бесконечно висит и ничего не сообщает.
Нашлась причина! Криво настроенный zapret на роутере мешал. Странно, что до обновления не проявлялось.
