Как исправить проблему с подключением к Bitbucket?

Question

[Vit]

Вышла новость на Bitbucket: Deprecating TLSv1 and TLSv1.1.

После этого сервер на CentOS 6 перестал обновлять пакеты с репозитория на Bitbucket.
Для проверки соединения выполняю команду:

GIT_CURL_VERBOSE=1 git ls-remote https://bitbucket.org/

В итоге получаю ошибку:

[root@localhost]# GIT_CURL_VERBOSE=1 git ls-remote https://bitbucket.org/
* Couldn't find host bitbucket.org in the .netrc file; using defaults
* Hostname was NOT found in DNS cache
* Trying 18.205.93.1...
* Connected to bitbucket.org (18.205.93.1) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP)
* Cannot communicate securely with peer: no common encryption algorithm(s).
* Closing connection 0
* Couldn't find host bitbucket.org in the .netrc file; using defaults
* Hostname was found in DNS cache
* Trying 18.205.93.1...
* Connected to bitbucket.org (18.205.93.1) port 443 (#1)
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP)
* Cannot communicate securely with peer: no common encryption algorithm(s).
* Closing connection 1
error: Cannot communicate securely with peer: no common encryption algorithm(s). while accessing https://bitbucket.org//info/refs

fatal: HTTP request failed

Версия OpenSSL:

[root@localhost]# openssl version
OpenSSL 1.1.1a 20 Nov 2018

Помогите решить проблему, что делать?

--------------------------------------

Проблема решилась обновлением cURL - How to upgrade cURL in Centos6?

Comments

[Алексей Скобкин]

А у вас сервер случайно не в России?

[Vit]

Алексей Скобкин, сервер в Германии.

[Алексей Скобкин]

Vit, Ну, значит проблема только в SSL/TLS, да. А в России коннект до Bitbucket рвётся ещё и из-за высокой компетентности специалистов ГРЧЦ.

Answer 1

[Vovanys]

Нужно смотреть с каким openssl собран git и curl.

Answer 2

[Борис Сёмов]

Вообще, странно всё ещё сидеть на centos6, когда и с 7-то проблематично уже без внешних репозиториев.

Проблема, скорее всего, в nss, и в том, что нужные шифры отключены по умолчанию, а не в том, что в openssl они не поддерживаются.

Вам надо:

• Как-то обновить nss
  
• Найти git собранный без поддержки curl (wget должен у вас работать), или curl без поддержки nss
  
• Найти как передать curl при запуске git параметр --ciphers ecdhe_rsa_aes_128_gcm_sha_256.
  

Comments

[Vit]

Это продакшн сервер, он был настроен 3-4 года назад. Что бы fresh install сделать с последней версией CentOS нужно переносить проекты.

[Vit]

Проблема решилась обновлением curl из стороннего репозитория - How to upgrade cURL in Centos6?

[CityCat4]

Вообще, странно всё ещё сидеть на centos6

Да ничуточки. В EL7 богомерзкий systemd.

[Борис Сёмов]

CityCat4, Может надо меньше предрассудков? =)

[CityCat4]

Борис Сёмов, не-а. Старую собаку не научишь новым штукам :)

[Борис Сёмов]

CityCat4, Таким собакам не место у терминала! =)

[CityCat4]

Борис Сёмов, Гав! Ну это мы еще - гав! - посмотрим ! :DDD