<div dir="ltr"><span style="font-size:13px;line-height:19.5px">Hello,</span><div style="font-size:13px;line-height:19.5px"><br></div><div style="font-size:13px;line-height:19.5px">I'm hoping you could provide some assistance in diagnosing/investigating an issue my users are experiencing with FireFox.  Our CDN is using OpenSSL  1.0.1j-1.4.0.420.  In addition to the below, I did try contacting Dr. Henson on this topic (his name was referenced in some of the old online posts) but suspect he has other pressing matters to deal with.  I've included the body of the message to him here:</div><div style="font-size:13px;line-height:19.5px"><br></div><div style="font-size:13px;line-height:19.5px">--</div><div style="font-size:13px;line-height:19.5px"><div>I'd be thankful for you guidance in an issue I'm investigating.  The error in the subject has been encountered at random by some of my users when using Firefox.  In researching this issue I've come across a number of dated articles/bits of information that suggest at one point there was a bug in OpenSSL 0.9.8g that caused this error.  <br></div><div><br></div><div>Since this is a client side error, I understand this may no longer be tied to the original OpenSSL bug, however I was hoping to rule it out.  In doing so I wanted to trace the changelist referenced in the firefox bug post @ <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=430703" target="_blank">https://bugzilla.mozilla.org/show_bug.cgi?id=430703</a> however it looks as though the tranition to GitHub has since made the link obsolete.  The link in question is <a href="http://cvs.openssl.org/chngview?cn=17098" target="_blank" style="color:rgb(102,51,102);font-family:'Droid Sans Mono',Menlo,Monaco,'Courier New',Courier,monospace;line-height:1.2;white-space:pre-wrap;text-decoration:none">http://cvs.openssl.org/chngview?cn=17098</a> and there is reference to your involvement in this issue.</div><div><br></div><div>I've checked the release notes @ <a href="https://www.openssl.org/news/changelog.html#x35" target="_blank">https://www.openssl.org/news/changelog.html#x35</a> between g to h and h to i to see if I could get any details that way, but admittedly much of the ssl jargon is greek to me.</div><div><br></div><div>Is there anything you could offer that would help me trace the change that was implemented in 17098 ?</div></div><div style="font-size:13px;line-height:19.5px">--</div><div style="font-size:13px;line-height:19.5px"><br><div class="gmail_quote"><div dir="ltr">---------- Forwarded message ---------<br>From: Martin Thomson <<a href="mailto:mt@mozilla.com" target="_blank">mt@mozilla.com</a>><br>Date: Tue, Feb 16, 2016 at 5:40 PM<br>Subject: Re: SSL_ERROR_RX_UNEXPECTED_CHANGE_CIPHER error in Firefox 44.0<br>To: mozilla's crypto code discussion list <<a href="mailto:dev-tech-crypto@lists.mozilla.org" target="_blank">dev-tech-crypto@lists.mozilla.org</a>><br></div><br><br>Hi Shaun,<br><br>As the documentation suggests, this is very likely a server problem. We<br>have recently audited the NSS state machine and I think it would be<br>unlikely that this is a client issue.<br><br>I would definitely look at the servers. Old versions of openssl are full of<br>holes anyway.<br><br>If you are able to capture logs for an affected connection and share those<br>we might be able to help you diagnose the issue. Or maybe you can point us<br>at a public endpoint that reliably produces the error.<br><br>--Martin<br>On Feb 17, 2016 1:50 AM, "Shaun Amyotte" <<a href="mailto:shaun.amyotte@gmail.com" target="_blank">shaun.amyotte@gmail.com</a>> wrote:<br><br>> Hello,<br>><br>> I initially posted this to <a href="http://support.mozilla.org/" rel="noreferrer" target="_blank">support.mozilla.org</a> @<br>><br>> <a href="https://support.mozilla.org/en-US/questions/1109175?utm_campaign=questions-reply&utm_medium=email&utm_source=notification" rel="noreferrer" target="_blank">https://support.mozilla.org/en-US/questions/1109175?utm_campaign=questions-reply&utm_medium=email&utm_source=notification</a><br>><br>> who suggested I redirect this to the news group.<br>><br>> Any assistance you could provide would be appreciated<br>> --<br>><br>> The error in the subject has been encountered at random by some of my users<br>> when using Firefox. In researching this issue I've come across a number of<br>> dated articles/bits of information that suggest at one point there was a<br>> bug in OpenSSL 0.9.8g that caused this error. We are running<br>> 1.0.1j-1.4.0.420<br>><br>> Since this is a client side error, I understand this may no longer be tied<br>> to the original OpenSSL bug, however I was hoping to rule it out. In doing<br>> so I wanted to trace the changelist referenced in the firefox bug post @<br>> <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=430703" rel="noreferrer" target="_blank">https://bugzilla.mozilla.org/show_bug.cgi?id=430703</a> however it looks as<br>> though the tranition to GitHub has since made the link obsolete. The link<br>> in question is <a href="http://cvs.openssl.org/chngview?cn=17098" rel="noreferrer" target="_blank">http://cvs.openssl.org/chngview?cn=17098</a> and there is<br>> reference to your involvement in this issue.<br>><br>> I have sent an email to one of the developers at OpenSSL who was referenced<br>> in the links above but have not heard back. What I'm wondering is if there<br>> is any client side tracing/debugging I can enable to get more details on<br>> this issue?<br>><br>> The error is referenced here but provides limited guidance beyond 'its a<br>> server side issue'<br>><br>><br>> <a href="https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/SSL_functions/sslerr.html" rel="noreferrer" target="_blank">https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/SSL_functions/sslerr.html</a><br>><br>> --<br>> --<br>> dev-tech-crypto mailing list<br>> <a href="mailto:dev-tech-crypto@lists.mozilla.org" target="_blank">dev-tech-crypto@lists.mozilla.org</a><br>> <a href="https://lists.mozilla.org/listinfo/dev-tech-crypto" rel="noreferrer" target="_blank">https://lists.mozilla.org/listinfo/dev-tech-crypto</a><br>><br>--<br>dev-tech-crypto mailing list<br><a href="mailto:dev-tech-crypto@lists.mozilla.org" target="_blank">dev-tech-crypto@lists.mozilla.org</a><br><a href="https://lists.mozilla.org/listinfo/dev-tech-crypto" rel="noreferrer" target="_blank">https://lists.mozilla.org/listinfo/dev-tech-crypto</a></div></div></div>