最新消息:

记录:bearychat接口故障

SSL admin 2815浏览 0评论

故障

公司内部使用 bearychat 沟通, 使用 机器人 直接推送内部一些 通知,告警或者消息之类的.  在 bearychat系统恢复后, 无法收到推送的消息了,

服务器维护预告:
因服务升级需要,倍洽将于 2019-03-05(下周二)01:00-06:00 进行停机维护,届时倍洽线上服务将暂停使用。给您带来不便,敬请谅解。
如对此有任何疑问或需要帮助,欢迎通过意见反馈功能随时与我们联系。(停机维护阶段可联系微信公众号 倍洽BearyChat 或邮箱 support@bearyinnovative.com)

在内部 服务器A 调用接口测试

 # curl 'https://hook.bearychat.com/=xxxxxx/incoming/xxxxxxxxx'   -X POST   -d 'payload={"text":"愿原力与你同在"}'
curl: (35) SSL connect error

被 reset 掉了,

排查

刚开始以为 bearychat 封禁我们出口, 由于内部都是通过NAT出去, 所以在 NAT网关上(服务器B),测试, 接口正常, 初步判断应该没有封禁出口

那就抓包排查, 分别再, 服务器A 和 服务器B tcpdump 116.85.38.126(hook.bearychat.com), 如下图:

服务器A(业务服务器)

服务器B(NAT网关)

从抓包直接就看出问题了. 服务器A 使用 TLSv1 进行握手, 被 116.85.38.126(hook.bearychat.com) RST掉了, 而 服务器B 使用 TLSv1.2

看来应该是 116.85.38.126(hook.bearychat.com) 不支持 TLSv1 了, 我们可以使用 https://myssl.com/hook.bearychat.com?domain=hook.bearychat.com 检查的确不支持TLSv1了

检查 服务器A 本地 libssl3.so 的确不支持 TLSv1.2

 # rpm -qf /usr/lib64/libssl3.so
nss-3.12.10-16.el6.x86_64
* Wed Nov 18 2015 Elio Maldonado <emaldona@redhat.com> - 3.19.1-6
- Resolves: Bug 1272504 - Enable TLS 1.2 as the default in nss

在 changelog 可以看到, nss 是从 3.19.1-6 才默认启用TLSv1.2

服务器A 升级 nss 之后, 问题解决,

虽然目前各大浏览器都在逐步废弃 TLSv1 , 但毕竟还有很多老设备,或各种原因不方便升级, 一个提供服务的接口 肯定要考虑兼容性吧.

 

转载请注明:爱开源 » 记录:bearychat接口故障

您必须 登录 才能发表评论!