Perl LWP GET или POST для URL-адреса SNI SSL

Question

У меня есть система, которая отправляет данные клиентам с использованием Perl LWP. Они могут выбирать свой URL-адрес, а также POST или GET.

Новый клиент недавно пожаловался, что служба не работает, и они подозревают, что это потому, что их конечная точка использует протокол SNI SSL.

Глядя в журналы, все, что я вижу, это сообщение об ошибке «(проверка сертификата не удалась) (500 тайм-аутов на чтение)».

Есть ли способ узнать, является ли эта проблема из-за их SNI SSL или чего-то другого? Я думаю, что я могу решить проблему, отключив verify_hostname, но это последнее средство, я бы предпочел, чтобы он работал правильно.

Какие еще меры следует предпринять?

Answer 1

Если SNI может быть проблемой, зависит от модуля, который вы используете, и их версии:

• LWP использует IO :: Socket :: SSL, начиная с версии 6.0 в качестве библиотеки бэкенд SSL. До этого он использовал Crypt :: SSLeay, который не поддерживает SNI, и вы все равно можете использовать Crypt :: SSLeay. Но, хотя это может привести к тому, что сервер вернет неверные данные, он должен в большинстве случаев не приводить к проверке проблем, потому что Crypt :: SSLeay не проверяет, соответствует ли имя в сертификате запрашиваемому имени хоста (и, таким образом, в-середине атаки).
• IO :: Socket :: SSL выполняет SNI на стороне клиента с версии 1.56 (02/2012), но вам нужна хотя бы версия 1.0 OpenSSL. Поддержка старых версий отключена из-за ошибок в OpenSSL при взаимодействии с некоторыми серверами.

Вы можете попробовать отладить проблему с настройкой $IO::Socket::SSL::DEBUG=4 при запуске кода.