Muppiga SSL implementationer

Idag och i fredags så hjälpte jag till med felsökning på höt (låg?) nivå. En klientapplikation X fungerar under vissa omständigheter, men inte under andra, när den skall använda SSL. Fast felet uppstår bara när den körs mot en av de marknadsledande SSL implementationerna (låt oss kalla den Y), inte mot en annan.

– Först testade jag att byta från X.509 V1 certifikat till X.509 V3 certifikat. Klassiker som jag vet löst "konstiga" problem tidigare. Hjälpte inte ett skvatt.

– Sen testade jag att byta X.509 V3 certifikat till ett X.509 V3 certifikat av typen RSA-SHA1 eftersom vi verifierat att problemet inte fanns när man testkörde mot några HTTPS-siter på nätet som hade den typen av certifikat. Hjälpte inte ett skvatt.

– Sen föddes en tanke hos mig. Kan det vara så att klient X inte fungerar mot välkänd server Y när de handskakat fram ciphersuit SSL_RSA_WITH_3DES_EDE_CBC_SHA? Hmmm, hmm? Verkar inte det jättetroligt?

Sagt och gjort, välkänd server Y konfigureras om så att den bara stödjer TLS_RSA_WITH_AES_128_CBC_SHA samt SSL_RSA_WITH_RC4_128_SHA (man vill ju att Windows skall kunna komma åt servern också…).

Öh… efter att framtvingat byte av ciphersuit så uppstår interoperabilitetsproblem sällan istället för alltid. Någon gång då och då kommer problemen, även efter byte av ciphersuite.

Gaah! Klientmjukvara X är förvisso en obskyr produkt som inte är specielt vanlig/välkänd, men det är ju ändå ett mycket stort företag som står bakom det. Och serverprogramvara Y har så stor marknadsandel att det verkar helt obegripligt att man inte gjort interoperabilitetstest mot den. Om nu två stycken SSL/TLS tillverkare tillsammans har 90 -100% av "marknadsandelarna", hur svårt kan det vara att räkna ut att "innan jag släpper en produkt bör jag kanske kolla att det fungerar ihop med de två största på marknaden?". Undrar om utvecklarna av klientmjukvara X tror att det alltid är deras mjukvara i andra sidan?

Ibland undrar man om man är först i universium med att köra programvaror. Visst, alla kanske inte kan felsöka detta, men det kan ju inte krävas många test ute i verkligheten innan någon berättar för utvecklarna "öh, hallå, det här fungerar ju bara mot produkt Z, inte mot produkt Y som har 40 – 50% av marknaden…"

Skall man skratta eller gråta?

Andra bloggar om:
Technorati:

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut /  Ändra )

Google-foto

Du kommenterar med ditt Google-konto. Logga ut /  Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut /  Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut /  Ändra )

Ansluter till %s