<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-CA" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">I have an LDAP server that accepts TLS connections, and I can make a connection to it using “openssl s_client -showcerts -host <host>:<port> -debug”. The output shows this is a TLSv1.2 connection using ECDHE-RSA-AES128-SHA. This is using
 OpenSSL version 1.0.2j.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">If I run exactly the same command using the openssl executable built with 1.1.1, I get errors:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">CONNECTED(00000184)<o:p></o:p></p>
<p class="MsoNormal">write to 0x2917b30 [0x2928090] (326 bytes => 326 (0x146))<o:p></o:p></p>
<p class="MsoNormal">0000 - 16 03 01 01 41 01 00 01-3d 03 03 5a e6 ad 03 79   ....A...=..Z...y<o:p></o:p></p>
<p class="MsoNormal">...<o:p></o:p></p>
<p class="MsoNormal">0140 - cb bb 7f 9c 78 24                                 ....x$<o:p></o:p></p>
<p class="MsoNormal">read from 0x2917b30 [0x291edf3] (5 bytes => 0 (0x0))<o:p></o:p></p>
<p class="MsoNormal">write:errno=0<o:p></o:p></p>
<p class="MsoNormal">---<o:p></o:p></p>
<p class="MsoNormal">no peer certificate available<o:p></o:p></p>
<p class="MsoNormal">---<o:p></o:p></p>
<p class="MsoNormal">No client certificate CA names sent<o:p></o:p></p>
<p class="MsoNormal">---<o:p></o:p></p>
<p class="MsoNormal">SSL handshake has read 0 bytes and written 326 bytes<o:p></o:p></p>
<p class="MsoNormal">Verification: OK<o:p></o:p></p>
<p class="MsoNormal">---<o:p></o:p></p>
<p class="MsoNormal">New, (NONE), Cipher is (NONE)<o:p></o:p></p>
<p class="MsoNormal">Secure Renegotiation IS NOT supported<o:p></o:p></p>
<p class="MsoNormal">Compression: NONE<o:p></o:p></p>
<p class="MsoNormal">Expansion: NONE<o:p></o:p></p>
<p class="MsoNormal">No ALPN negotiated<o:p></o:p></p>
<p class="MsoNormal">Early data was not sent<o:p></o:p></p>
<p class="MsoNormal">Verify return code: 0 (ok)<o:p></o:p></p>
<p class="MsoNormal">---<o:p></o:p></p>
<p class="MsoNormal">read from 0x2917b30 [0x290e960] (8192 bytes => 0 (0x0))<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">The connection is closed by the server, which is reporting an error:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">TLS: error: accept - force handshake failure: errno 11 - moznss error -12162<o:p></o:p></p>
<p class="MsoNormal">TLS: can't accept: TLS error -12162:Unsupported hash algorithm used by TLS peer..<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">If I add the -no_tls1_2 switch, the openssl 1.1.1 command succeeds. Since the server didn’t change and the client command line didn’t change, it would seem that some default behaviour has changed within OpenSSL for 1.1.1. I know that some
 ciphersuites were removed or disabled but the one used by OpenSSL 1.0.2j (ECDHE-RSA-AES128-SHA) does not seem to be one of them (it’s listed in “openssl ciphers”). Does anyone know what might be happening here?<o:p></o:p></p>
<p class="MsoNormal"><o:p></o:p></p>
<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-CA">Thanks<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-CA">Graeme Perrow<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-CA"><o:p> </o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>