Question

我正在使用Fiddler 5.0捕获移动应用程序的https请求。除了一个应用程序，它工作正常。以下是Fiddler的日志。

21:31:59:7072 HTTPSLint> Warning: ClientHello record was 508 bytes long. Some servers have problems with ClientHello's greater than 255 bytes. https://github.com/ssllabs/research/wiki/Long-Handshake-Intolerance
21:31:59:7072 !SecureClientPipeDirect failed: System.Security.Authentication.AuthenticationException A call to SSPI failed, see inner exception. < 处理证书时，出现了一个未知错误。 for pipe (CN=ci.migudm.cn, O=DO_NOT_TRUST, OU=Created by http://www.fiddler2.com).
21:31:59:7412 !SecureClientPipeDirect failed: System.Security.Authentication.AuthenticationException A call to SSPI failed, see inner exception. < 处理证书时，出现了一个未知错误。 for pipe (CN=ci.migudm.cn, O=DO_NOT_TRUST, OU=Created by http://www.fiddler2.com).
21:31:59:7862 HTTPSLint> Warning: ClientHello record was 508 bytes long. Some servers have problems with ClientHello's greater than 255 bytes. https://github.com/ssllabs/research/wiki/Long-Handshake-Intolerance

Answer 1

您是否签出了日志提供的链接？我认为有很多非常相关的信息可以帮助您获得所需的信息：

即使协议允许此类消息，某些Web服务器也无法处理长度超过255字节的Client Hello消息。尽管大多数“客户端问候”消息都比此限制短，但是通过使用服务器名称指示（SNI），椭圆曲线扩展以及支持的套件数量的增加，大小可以轻松超过。

人们认为浏览器不会受到影响，但其他一些工具可能会受到影响。特别是，已知OpenSSL 1.0.1+会受到影响。如果使用的是s_client工具，请尝试通过禁用OpenSSL提供的某些套件来减小握手的大小（可以通过使用-cipher开关指定所需的套件来完成此操作）。

OpenSSL Bug #2771: Openssl 1.0.1 times out when connecting to Outlook Exchange 2007;与来宾/来宾登录。
F5在bug＃376483下跟踪了此问题，并已在BIG-IP LTM 10.2.4中修复（请参见[SOL14758：如果ClientHello消息大于255个字节并使用TLS 1.1或1.2，则SSL客户端连接可能会失败]（ https://support.f5.com/kb/en-us/solutions/public/14000/700/sol14758.html）以获取更多详细信息）。

Michael Tschannen说：

此问题已根据10.2.4中的F5解决，但是在任何发行说明中均未提及（我已经检查过，直到11.x）
要在F5上调试问题，日志级别“ SSH”至少应为“信息”。

示例：

Mar 22 09:44:21 local/tmm info tmm[4696]: 01260013:6: SSL Handshake failed for TCP from x.x.x.x:443 to x.x.x.x:49549

来源：https://github.com/ssllabs/research/wiki/Long-Handshake-Intolerance

如果您已阅读完所有这些信息，能否请您提供F5版本，OpenSSL版本以及来自OpenSSL的日志信息？

Fiddler代理不适用于https请求

1 个答案: