Как в актуальной версии curl применить tls 1.0 (или как собрать старый curl для этого)?

Question

[Алексей]

Есть узел, все еще на tls1.0
К нему необходимо обратиться curl'ом (передать файл -F "filename=@, получить ответ)

Мой хост:

openSUSE Tumbleweed 20231006

curl 8.3.0 (x86_64-suse-linux-gnu) libcurl/8.3.0 OpenSSL/3.1.3 zlib/1.2.13 brotli/1.0.9 zstd/1.5.5 libidn2/2.3.4 libpsl/0.21.2 (+libidn2/2.3.4) libssh/0.10.5/openssl/zlib nghttp2/1.55.1 OpenLDAP/2.6.4
Release-Date: 2023-09-13

OpenSSL 3.1.3 19 Sep 2023 (Library: OpenSSL 3.1.3 19 Sep 2023)

При обращении с соответствующими параметрами из man, все равно получаю применение 1.3:

# curl -v --insecure --tls-max 1.0 --tlsv1.0 https://ХХХ
*   Trying ХХХ:443...
* Connected to ХХХ (ХХХ) port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS alert, protocol version (582):
* OpenSSL/3.1.3: error:0A0000BF:SSL routines::no protocols available
* Closing connection
curl: (35) OpenSSL/3.1.3: error:0A0000BF:SSL routines::no protocols available

SSL routines::no protocols available - т.е. в моем текущем openssl (curl его использует?) уже совсем недоступен tls1.0 ?

Попробовал собрать старый curl, на curl.se скачал 7.47.0 (версию наудачу посмотрел на подвернувшейся старой убунте 16й, там такая версия curl, с нее 1.0 еще применяется), по Makefile попробовал первые два варианта и All и with-ssl.

all:
	./configure
	make
ssl:
	./configure --with-ssl
	make

Тут уже получаю ссылку на библиотеку libcurl:

/opt/curl-7.47.0 # ./src/curl -v --insecure --tlsv1.0 https://XXX
* Protocol "https" not supported or disabled in libcurl
* Closing connection -1
curl: (1) Protocol "https" not supported or disabled in libcurl

Мне надо как-то иначе собрать curl 7.47.0?
С привязкой старых библиотек?

Comments

[Lynn «Кофеман»]

https://tk-sls.de/wp/5200

А такой способ не помогает? Хотя с 2020 могли уже из из библиотеки выпилить, а не только из конфига

[Lynn «Кофеман»]

https://serverfault.com/q/1143995/211028

Тут вроде автору удалось заставить работать

Answer 1

[Владимир Ерошенко]

Я для подобных случаев обычно выбираю старые дистрибутивы, где OpenSSL точно версии 1. И использую docker.
например:

user@server$ docker run -it --rm alpine:3.1
$ apk update && apk add curl
$ curl -vvv --tlsv1.0 https://domain.example

параметр --tls-max он еще не понимал. может в версиях alpine посвежее.
ну, а так осталось только через volume примонтировать каталог с файлом и добавить путь к файлу в команду curl.

Comments

[Алексей]

Да, к сожалению, так и не смог собрать на новом узле старый curl со старым openssl.
Хотя задача для практики интересная была...

Поэтому так и сделал - взял контейнер SLES 11sp4, там вообще еще ssl3 актуален...

Answer 2

[CityCat4]

С openssl. Боюсь, что его просто выпилили оттуда. libcurl по-моему не содержит криптопримитивы - если их нет в openssl - то их нет.

Comments

[Алексей]

Т.е. мне надо на целевом узле сначала собрать какой-то старый openssl?
А потом со ссылкой на него - собрать старый curl с ключем ./configure --with-ssl=старый openssl

[Алексей]

Похоже, мои действия по сборке не совсем верны, SSL support остается "no"
Что-то не так?

# whereis ssl
ssl: /etc/ssl /usr/share/ssl /usr/share/man/man7/ssl.73ssl.gz

/opt/curl-7.47.0 # ./configure --with-ssl=/etc/ssl
checking whether to enable maintainer-specific portions of M
...
configure: WARNING: SSL disabled, you will not be able to use HTTPS, FTPS, NTLM and more.
configure: WARNING: Use --with-ssl, --with-gnutls, --with-polarssl, --with-cyassl, --with-nss, --with-axtls, --with-winssl, or --with-darwinssl to address this.
...
configure: Configured to build curl/libcurl:

  curl version:     7.47.0
  Host setup:       x86_64-pc-linux-gnu
  Install prefix:   /usr/local
  Compiler:         gcc
  SSL support:      no      (--with-{ssl,gnutls,nss,polarssl,mbedtls,cyassl,axtls,winssl,darwinssl} )
  SSH support:      no      (--with-libssh2)
...

[Алексей]

Посмотрел лог, причина в этом?
Что это за -laxtls, подскажите, как ее предоставить компилятору?

configure:24378: checking for ssl_version in -laxtls
configure:24400: gcc -o conftest -O2 -Wno-system-headers   conftest.c -laxtls   >&5
/usr/lib64/gcc/x86_64-suse-linux/13/../../../../x86_64-suse-linux/bin/ld: cannot find -laxtls: No such file or directory
collect2: error: ld returned 1 exit status
configure:24400: $? = 1
configure: failed program was:
| /* confdefs.h */
...
| }
configure:24409: result: no
configure:24442: WARNING: SSL disabled, you will not be able to use HTTPS, FTPS, NTLM and more.
configure:24444: WARNING: Use --with-ssl, --with-gnutls, --with-polarssl, --with-cyassl, --with-nss, --with-axtls, --with-winssl, or --with-darwinssl to address this.

[Алексей]

Те же ... только в профиль...

openssl:

wget https://www.openssl.org/source/openssl-1.0.2g.tar.gz
tar xzf openssl-1.0.2g.tar.gz
cd openssl-1.0.2g/
./config
make

Похоже, что собрался (варнинг по конфигу разве что...)

./apps/openssl version
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
OpenSSL 1.0.2g  1 Mar 2016

# pwd
/opt/openssl-1.0.2g

curl:

wget https://curl.se/download/curl-7.47.0.tar.gz
tar xzf curl-7.47.0.tar.gz
./configure --with-ssl="/opt/openssl-1.0.2g" --disable-shared

Тот же результат:

curl version:     7.47.0
  Host setup:       x86_64-pc-linux-gnu
  Install prefix:   /usr/local
  Compiler:         gcc
  SSL support:      no      (--with-{ssl,gnutls,nss,polarssl,mbedtls,cyassl,axtls,winssl,darwinssl} )

В логе все то же:

/usr/lib64/gcc/x86_64-suse-linux/13/../../../../x86_64-suse-linux/bin/ld: cannot find -laxtls: No such file or directory

[Алексей]

Нашел пакет, в котором эта библиотека, поставил.
https://packages.ubuntu.com/ru/jammy/amd64/libaxtl...

Все равно ld ее не видит /usr/bin/ld: cannot find -laxtls
Подскажите, пж, как правильно направить линкер на нее?

# dpkg -i ./libaxtls1_2.1.5+ds-1build2_amd64.deb
Selecting previously unselected package libaxtls1:amd64.
(Reading database ... 66185 files and directories currently installed.)
Preparing to unpack .../libaxtls1_2.1.5+ds-1build2_amd64.deb ...
Unpacking libaxtls1:amd64 (2.1.5+ds-1build2) ...
Setting up libaxtls1:amd64 (2.1.5+ds-1build2) ...
Processing triggers for libc-bin (2.23-0ubuntu11.2) ...

# ldconfig -v | grep axtls
...
        libaxtls.so.1 -> libaxtls.so.1.2

# find / -name libaxtls.so*
/usr/lib/x86_64-linux-gnu/libaxtls.so.1.2
/usr/lib/x86_64-linux-gnu/libaxtls.so.1

# ./configure --with-zlib --with-ssl --disable-shared
...
  curl version:     7.37.1
  Host setup:       x86_64-unknown-linux-gnu
  Install prefix:   /usr/local
  Compiler:         gcc
  SSL support:      no      (--with-{ssl,gnutls,nss,polarssl,cyassl,axtls,winssl,darwinssl} )

# cat ./config.log | grep "\-laxtls"
...
/usr/bin/ld: cannot find -laxtls