Erreur TLS Handshake Exception

[SAS-Malko]

Bonjour, Suite à la dernière modification annoncée par Guillaume, j'ai bien eu une coupure des remontées. Après demande de reset consentement, le démarrage suivant ne me propose pas de code de consentement et dans le log d'erreurs de Domoticz je vois : 2023-12-01 09:54:26.001 Error: (Compteur Linky) TLS Handshake Exception: 'handshake: sslv3 alert handshake failure' connecting to 'enedis.domoticz.russandol.pro:443' Je suis un peu surpris car ça fonctionnait très bien après être passé sur la version 2.5.3

• Domoticz v.2020.1
• DSM 6
• NAS Syno DS420J

Merci d'avance pour l'aide

Cordialement LB

[SAS-Malko]

@Phil353556 Oui :D Je sais que j'ai une version ancienne mais sur Syno c'est assez compliqué d'installer les nouvelles versions de Domoticz. Je n'aurais pas été trop surpris si ça n'avait pas fonctionné avec la v.2.5.3 du plugin mais justement ça fonctionnait très bien jusqu'à cette dernière modif. Du coup, j'aimerais être certain que c'est bien dû à ma version de Domoticz et pas à une quelconque autre raison. En fait je ne vois pas pourquoi du jour au lendemain le log me remonte une erreur TLS!... alors que le plugin et le même. Peut-être que Guillaume aura une vision plus claire car c'est lui qui a fait la dernière modification côté serveur :) Je passerai certainement en v2023 mais je dois pour cela m'offrir un NUC et y installer proxmox :) (j'ai d'autres VMs à m'installer) En attendant, si ça pouvait fonctionner sur ma version 2020.1 ça serait cool. J'ai déjà perdu Netatmo :/ Cordialement LB

[SAS-Malko]

@Phil353556 Oui, moi aussi je me suis installé une version beta vite fait sous Windows 10 pour voir et Netatmo y remonte bien en effet :D. Mais je ne monterai en 2023 que sur un nuc (ou un pi ?mais comme je disais dans mon précédent message j’ai d’autres vms à installer), pas sur mon NAS qui n’est pas une bête de course et commence à dater. Du coup, en parallèle je me suis mis un HA sur une vm Delta (Free) pour tester. Ca tourne bien aussi, avec Netatmo et Linky :) Au final j’essaye de mettre le plus de choses possible sur mqtt pour pouvoir les exploiter depuis HA et depuis Domotcz. HA permet beaucoup plus de choses que Domoticz mais j’aime bien Domoticz et l’appli Pilot sur iPhone :) LB

[guillaumezin]

Pas d'erreur de ce type chez moi, vous n'avez pas trifouillé les bibliothèques openssl ? Avez-vous des erreurs avec "curl -L enedis.domoticz.russandol.pro" ?

[SAS-Malko]

Ha ha ha! Ça y ressemble, mais non! Je me suis contenté de sélectionner reset consentement et, c’est vrai que j’ai fait ajouter au lieu de modifier, mais au démarrage suivant j’avais cette erreur Vraiment bizarre tout de même J’essaye la commande curl asap et reviens donner le résultat Cordialement LB

[SAS-Malko]

@guillaumezin J'ai effectivement une erreur avec la commande cité Le retour de la commande "curl -L enedis.domoticz.russandol.pro" est : curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

Cordialement LB

[guillaumezin]

Le problème n'est donc ni Domoticz, ni le plugin. Avez-vous mis des DNS filtrants, ou https://pi-hole.net/ ? @oredin a mis à jour ses domaines récemment et ça ne s'est peut-être pas bien propagé.

[oredin]

Bonjour,

Le problème n'est pas DNS mais côté certificat SSL. J'ai changé le certificat hier pour passer sur un certificat Wilcard au lieu d'un certificat spécifique. Toutefois, cela ne devrait rien changer. Les certificats viennent tous de LetsEncrypt.

Je viens de tester l'accès au site et un curl sans erreur de mon côté.

Pouvez-vous me fournir le résultat du curl avec "-v" en paramètre supplémentaire ?

[guillaumezin]

Moi non plus je n'ai pas d'erreur, c'est pour ça que j'évoquais un problème de cache/propagation. Donc de mon côté (qui fonctionne, pour comparaison):

* processing: enedis.domoticz.russandol.pro
*   Trying 163.172.108.143:80...
* Connected to enedis.domoticz.russandol.pro (163.172.108.143) port 80
> GET / HTTP/1.1
> Host: enedis.domoticz.russandol.pro
> User-Agent: curl/8.2.1
> Accept: */*
> 
< HTTP/1.1 301 Moved Permanently
< Location: https://enedis.domoticz.russandol.pro/
< Date: Sat, 02 Dec 2023 09:35:18 GMT
< Content-Length: 17
< Content-Type: text/plain; charset=utf-8
< 
* Ignoring the response-body
* Connection #0 to host enedis.domoticz.russandol.pro left intact
* Clear auth, redirects to port from 80 to 443
* Issue another request to this URL: 'https://enedis.domoticz.russandol.pro/'
*   Trying 163.172.108.143:443...
* Connected to enedis.domoticz.russandol.pro (163.172.108.143) port 443
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_128_GCM_SHA256
* ALPN: server accepted h2
* Server certificate:
*  subject: CN=*.domoticz.russandol.pro
*  start date: Nov 30 14:06:48 2023 GMT
*  expire date: Feb 28 14:06:47 2024 GMT
*  subjectAltName: host "enedis.domoticz.russandol.pro" matched cert's "*.domoticz.russandol.pro"
*  issuer: C=US; O=Let's Encrypt; CN=R3
*  SSL certificate verify ok.
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* using HTTP/2
* h2 [:method: GET]
* h2 [:scheme: https]
* h2 [:authority: enedis.domoticz.russandol.pro]
* h2 [:path: /]
* h2 [user-agent: curl/8.2.1]
* h2 [accept: */*]
* Using Stream ID: 1
> GET / HTTP/2
> Host: enedis.domoticz.russandol.pro
> User-Agent: curl/8.2.1
> Accept: */*
> 
< HTTP/2 200 
< cache-control: no-cache
< content-type: text/html; charset=UTF-8
< date: Sat, 02 Dec 2023 09:35:18 GMT
< server: Apache
< vary: Accept-Encoding
< vary: Accept-Encoding
< 
<!DOCTYPE html>
<html lang="en">
<head>
  <title>Device Flow Proxy Server pour DomoticzLinky</title>
    <link rel="stylesheet" type="text/css" href="/assets/normalize.css" media="screen">
    <link rel="stylesheet" type="text/css" href="/assets/cayman.css" media="screen">
    <link rel="icon" href="data:;base64,iVBORw0KGgo=">
  <meta name="viewport" content="width=device-width, initial-scale=1">
</head>
<body>

<section class="page-header">
<h2 class="project-tagline">Demande de consentement de partage de données d'Enedis vers le plugin DomoticzLinky</h2>
</section>

<section class="main-content">

<div id="page-content">

<h1>Obtention de consentement pour DomoticzLinky</h1>
<p>Ce site sert de passerelle pour l'obtention du consentement de partage de données du site d'<a href="https://www.enedis.fr">Enedis</a> vers le plugin DomoticzLinky de Domoticz.</p>
</div>

<footer class="site-footer">
<span class="site-footer-owner"><p>Ce site est hebergé par <a href=https://www.online.net/fr/document-legal/mentions-legales">Online.net</a> et g&eacute;r&eacute; par Russandol.</p></span>
<span class="site-footer-credits"><p>Le seul cookie utilisé est un cookie de session nécessaire au bon fonctionnement du site. En dehors de cela, ce site ne stocke pas vos données personnelles, ne fait pas de traitement avec. Ce site ne partage pas vos données et ne les exploite pas. Votre nom d'utilisateur, votre mot de passe et vos données de consommation ne transitent pas par ce site.</p></span>
<span class="site-footer-credits"><p>Les sources de ce site sont accessibles à l'adresse <a href="https://github.com//russandol-sarl/Device-Flow-Proxy-Server">https://github.com/russandol-sarl/Device-Flow-Proxy-Server</a>.</p>
<p>Les sources du plugin sont accessibles à l'adresse <a href="https://github.com/guillaumezin/DomoticzLinky">https://github.com/guillaumezin/DomoticzLinky</a>.</p>
<p>Les sources de Domoticz sont accessibles à l'adresse <a href="https://www.domoticz.com">https://www.domoticz.com</a>.</p></span>
<span class="site-footer-credits"><p>Cette page utilise le thème <a href="https://github.com/jasonlong/cayman-theme">Cayman</a> réalisé par <a href="https://twitter.com/jasonlong">Jason Long</a>.</p></span>
</footer>
</section>

</body>
</html>
* Connection #1 to host enedis.domoticz.russandol.pro left intact

[SAS-Malko]

@oredin Bonjour,

Ci-dessous la commande et son résultat : ~$ curl -L -v enedis.domoticz.russandol.pro

GET / HTTP/1.1 Host: enedis.domoticz.russandol.pro User-Agent: curl/7.54.0 Accept: /

< HTTP/1.1 301 Moved Permanently < Location: https://enedis.domoticz.russandol.pro/ < Date: Sat, 02 Dec 2023 09:35:20 GMT < Content-Length: 17 < Content-Type: text/plain; charset=utf-8 <

• TLSv1.2 (OUT), TLS header, Certificate Status (22):
• TLSv1.2 (OUT), TLS handshake, Client hello (1):
• TLSv1.2 (IN), TLS header, Unknown (21):
• TLSv1.2 (IN), TLS alert, Server hello (2):
• error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

Cordialement LB

[SAS-Malko]

@oredin Voyant que Guillaume avait une version 8 de curl, j'ai regardé de mon côté Sur mon NAS j'ai upgradé à la dernière version disponible, soit la 7.57 Le message d'erreur est un peu différent et donc apporte peut-être des pistes supplémentaires? Je le copie ci-dessous :

curl -L -v enedis.domoticz.russandol.pro

GET / HTTP/1.1 Host: enedis.domoticz.russandol.pro User-Agent: curl/7.57.0 Accept: /

< HTTP/1.1 301 Moved Permanently < Location: https://enedis.domoticz.russandol.pro/ < Date: Sat, 02 Dec 2023 10:09:52 GMT < Content-Length: 17 < Content-Type: text/plain; charset=utf-8 <

• TLSv1.2 (OUT), TLS header, Certificate Status (22):
• TLSv1.2 (OUT), TLS handshake, Client hello (1):
• TLSv1.2 (IN), TLS header, Unknown (21):
• TLSv1.2 (IN), TLS alert, Server hello (2):
• error:14077410:lib(20):func(119):reason(1040) curl: (35) error:14077410:lib(20):func(119):reason(1040)

Cordialement LB

[guillaumezin]

Je vois une autre différence, c'est TLSv1.2 chez vous et TLSv1.3 chez moi.

[guillaumezin]

Pouvez-vous essayer de forcer le paramètre suivant à TLS 1.3 ? https://kb.synology.com/fr-fr/DSM/help/DSM/AdminCenter/connection_security_advanced?version=7

[SAS-Malko]

@guillaumezin Ah! Je vais essayer ça oui J’avais essayé de passer —tlsv1.3 en paramètre du curl mais j’avais toujours un message d’erreur J’essaye dès que je serai de retour chez moi :) LB

[oredin]

J'ai fait quelques vérifications complémentaires. Ma configuration pour le proxy du plugin est un peu différente des autres sites que j'héberge. En faisant des tests SSL, mes autres sites acceptent bien les connexions en TLS1.2. Il n'y a que le proxy qui refuse le TLS1.2 et n'accepte que le TLS1.3.

Il est fort probable que les librairies de votre NAS soient un peu obsolète et ne gère pas le TLS1.3. Je vais essayer de retrouver la raison pour laquelle je n'avais pas appliqué la même configuration sur le proxy et voir si je peux faire en sorte qu'il accepte le TLS1.2. Par contre, je ne comprends pas pourquoi ça a changé suite au changement de certificat.

Je risque de ne pas avoir le temps d'avancer là dessus avant la semaine prochaine mais je vous tiens au courant dès que j'ai pu y travailler.

[SAS-Malko]

Bonjour, Alors, j'ai essayé en modifiant le niveau de paramétrage sur le NAS J'étais en "Intermédiaire" qui accepte TLS 1.2 & 1.3 Je suis passé en "moderne" qui n'accepte plus que 1.3 -> Aucun changement En fait je pense que l'erreur avec la commande curl vient de ma version DSM 6.2, dans laquelle openssl est une version assez ancienne. DSM v6.2 OpenSSL> version OpenSSL 1.0.2u-fips 20 Dec 2019

Si je tape la même commande curl depuis mon Mac, je n'ai pas d'erreur. Sur mon Mac la version openssl est beaucoup plus récente malko@MacBook-Pro-de-Laurent Downloads % openssl version LibreSSL 2.8.3

` curl -L -v enedis.domoticz.russandol.pro

• Trying 163.172.108.143:80...
• Connected to enedis.domoticz.russandol.pro (163.172.108.143) port 80 (#0)

  GET / HTTP/1.1 Host: enedis.domoticz.russandol.pro User-Agent: curl/7.79.1 Accept: /

• Mark bundle as not supporting multiuse < HTTP/1.1 301 Moved Permanently < Location: https://enedis.domoticz.russandol.pro/ < Date: Sun, 03 Dec 2023 13:48:08 GMT < Content-Length: 17 < Content-Type: text/plain; charset=utf-8 <
• Ignoring the response-body
• Connection #0 to host enedis.domoticz.russandol.pro left intact
• Issue another request to this URL: 'https://enedis.domoticz.russandol.pro/'
• Trying 163.172.108.143:443...
• Connected to enedis.domoticz.russandol.pro (163.172.108.143) port 443 (#1)
• ALPN, offering h2
• ALPN, offering http/1.1
• successfully set certificate verify locations:
• CAfile: /etc/ssl/cert.pem
• CApath: none
• (304) (OUT), TLS handshake, Client hello (1):
• (304) (IN), TLS handshake, Server hello (2):
• (304) (IN), TLS handshake, Unknown (8):
• (304) (IN), TLS handshake, Certificate (11):
• (304) (IN), TLS handshake, CERT verify (15):
• (304) (IN), TLS handshake, Finished (20):
• (304) (OUT), TLS handshake, Finished (20):
• SSL connection using TLSv1.3 / AEAD-CHACHA20-POLY1305-SHA256
• ALPN, server accepted to use h2
• Server certificate:
• subject: CN=*.domoticz.russandol.pro
• start date: Nov 30 14:06:48 2023 GMT
• expire date: Feb 28 14:06:47 2024 GMT
• subjectAltName: host "enedis.domoticz.russandol.pro" matched cert's "*.domoticz.russandol.pro"
• issuer: C=US; O=Let's Encrypt; CN=R3
• SSL certificate verify ok.
• Using HTTP2, server supports multiplexing
• Connection state changed (HTTP/2 confirmed)
• Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
• Using Stream ID: 1 (easy handle 0x150012600)

  GET / HTTP/2 Host: enedis.domoticz.russandol.pro user-agent: curl/7.79.1 accept: /

• Connection state changed (MAX_CONCURRENT_STREAMS == 250)! < HTTP/2 200 < cache-control: no-cache < content-type: text/html; charset=UTF-8 < date: Sun, 03 Dec 2023 13:48:08 GMT < server: Apache < vary: Accept-Encoding < vary: Accept-Encoding < <!DOCTYPE html>

Demande de consentement de partage de données d'Enedis vers le plugin DomoticzLinky

Obtention de consentement pour DomoticzLinky

Ce site sert de passerelle pour l'obtention du consentement de partage de données du site d'Enedis vers le plugin DomoticzLinky de Domoticz.

Ce site est hebergé par Online.net et géré par Russandol.

Le seul cookie utilisé est un cookie de session nécessaire au bon fonctionnement du site. En dehors de cela, ce site ne stocke pas vos données personnelles, ne fait pas de traitement avec. Ce site ne partage pas vos données et ne les exploite pas. Votre nom d'utilisateur, votre mot de passe et vos données de consommation ne transitent pas par ce site.

Les sources de ce site sont accessibles à l'adresse https://github.com/russandol-sarl/Device-Flow-Proxy-Server.

Les sources du plugin sont accessibles à l'adresse https://github.com/guillaumezin/DomoticzLinky.

Les sources de Domoticz sont accessibles à l'adresse https://www.domoticz.com.

Cette page utilise le thème Cayman réalisé par Jason Long.

• Connection #1 to host enedis.domoticz.russandol.pro left intact `

Je ne peux pas upgrader en DSM v7 car Domoticz n'est pas compatible, au moins dans la version 2020.1

Comme j'ai mis une v2023 béta sur un PC sous W10 pour faire le test avec Netatmo je vais essayer d'y mettre le plugin (je sais qu'il y a des pbs d'affichage avec le plugin et la béta mais ce sera juste pour vérifier que ça fonctionne) mais il faut que je regarde curl et openssl sur ce PC et également que je regarde où mettre les plugins sur la version windows de Domoticz Je vous tiendrai au courant de mes tests, mais si vous avez des idées/conseils je suis preneur

Cordialement LB

[patron91190]

bonjour, Meme pb pour moi , le plugin 2.5.3 a fonctionné quelques jours, mais depuis mercredi plus rien (mes dernières données remontées sont du mardi 28. depuis j'ai : Error: (Linky StAub) TLS Handshake Exception: 'handshake: sslv3 alert handshake failure' connecting to 'enedis.domoticz.russandol.pro:443'

ma config : domoticz 2020.1 sur windows 7 (32 bits) python 3.8.2 linky 2.5.3

de ce que je comprend, il faut que mon système supporte TLS 1.3, or celui-ci n'est pas implementé sur windows 7, je suis donc dans une impasse, migrer en win10 n'est pas possible avec seulement 1GB ram et un processeur Atom (la machine date de 2009). @oredin : possible de revenir en TLS 1.2 ?

[oredin]

J'ai trouvé d'où venait le problème. Le certificat a été généré avec un type de clé compatible uniquement avec TLS1.3.

J'ai corrigé et regénéré un nouveau certificat et, d'après mes tests, le TLS1.2 est de nouveau OK.

Je vous laisse me confirmer que c'est bien revenu à la normale chez vous.

[patron91190]

Bonjour et merci . ca remarche impec, bravo pour la reactivité 👍

[guillaumezin]

Super, merci pour le correctif, je clos.

[SAS-Malko]

Bonjour à Tous, Je viens de me reconnecter sur mon Domoticz et je vous confirme (s'il en était besoin :) ) que ça fonctionne aussi chez moi. Dans les logs, suite à la modification de certificat annoncée par @oredin, le message a changé à 18h07, pour me proposer la demande de consentement. J'ai fais ça ce matin et tout roule.

Merci à Tous Cordialement LB

[SAS-Malko]

@Phil353556 En aparté. Question NAS je suis dans le même cas :) Je suivais toutes les mises à jour mais quand DSM 7 est arrivé j'ai temporisé et bien m'en a pris puisque j'ai appris par la suite que Domoticz (au moins la version installée chez moi) n'était pas compatible. Depuis, je n'envisage pas vraiment de l'upgrader et ton retour me conforte dans cette idée. Il est toujours très bien pour le stockage et j'envisage donc le NUC et quelques VMs sous proxmox pour y mettre, Plex, HA, probablement une version récente de Domoticz, Docker, etc... Et puis j'ai quand même un PI3B+ pour mon broker MQTT, ce qui concerne MQTT (Zigbee2mqtt et consorts) et CUPS pour utiliser ma vieille HP6P qui rend encore bien des services :D NB : Pour l'instant ma carte SD à bien tenu le coup, mais je sais que je m'expose et je regarde pour y passer un SSD Encore merci Au plaisir LB