<div dir="ltr"><div>Hi,</div><div><br></div><div>You can try to add SSL_CTX_set_keylog_callback to your MTA. With keylog callback, your MTA will start writing log in NSS format for decryption of TLS frames. <a href="https://wiki.wireshark.org/TLS#Using_the_.28Pre.29-Master-Secret">https://wiki.wireshark.org/TLS#Using_the_.28Pre.29-Master-Secret</a><br><br>Or you can enable SSL_trace with disabling OPENSSL_NO_SSL_TRACE build option and  SSL_set_msg_callback(client_ssl, SSL_trace) callback.<br><br></div><div>But first of all, check your cert type. Looks like you are using non-RSA cert which is not supported by S8.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 18 May 2020 at 20:00, Claus Assmann <<a href="mailto:ca%2Bssl-users@esmtp.org">ca+ssl-users@esmtp.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I'm stuck and looking for some hints/help.  I have two MTAs (let's<br>
call them M1 and S8), both built with OpenSSL 1.1.1g. The problem<br>
is M1 cannot establish a TLSv1.3 connection with S8. Using other<br>
MTAs/sites/protocols/tools works just fine, e.g., M1 can send mail<br>
to google using TLSv1.3, and S8 can send mail to M1. Replacing the<br>
server or client with openssl s_client/s_server also works.<br>
<br>
I've added some TLS callbacks to S8 which I found in s_cb.c, but<br>
all I get at the end is "SSL_accept:error in TLSv1.3 early data"<br>
(see "full" trace below for the steps leading to this).<br>
Unfortunately I cannot find a way to figure out more details or<br>
what kind of error that is.  Any hints how to determine (and fix?)<br>
the problem?<br>
<br>
S8 server side:<br>
info_callback where=0x10, ret=1<br>
info_callback where=0x2001, ret=1<br>
SSL_accept:before SSL initialization<br>
ssl_msg_cb, writep=0, version=0, len=5, ct=256<br>
ssl_msg_cb, before SSL initialization<br>
info_callback where=0x2001, ret=1<br>
SSL_accept:before SSL initialization<br>
ssl_msg_cb, writep=0, version=772, len=512, ct=22<br>
ssl_msg_cb, SSLv3/TLS read client hello<br>
info_callback where=0x2001, ret=1<br>
SSL_accept:SSLv3/TLS read client hello<br>
ssl_msg_cb, writep=1, version=0, len=5, ct=256<br>
ssl_msg_cb, SSLv3/TLS write server hello<br>
ssl_msg_cb, writep=1, version=772, len=88, ct=22<br>
ssl_msg_cb, SSLv3/TLS write server hello<br>
info_callback where=0x2001, ret=1<br>
SSL_accept:SSLv3/TLS write server hello<br>
ssl_msg_cb, writep=1, version=0, len=5, ct=256<br>
ssl_msg_cb, SSLv3/TLS write change cipher spec<br>
ssl_msg_cb, writep=1, version=772, len=1, ct=20<br>
ssl_msg_cb, SSLv3/TLS write change cipher spec<br>
info_callback where=0x2001, ret=1<br>
SSL_accept:SSLv3/TLS write change cipher spec<br>
info_callback where=0x2001, ret=1<br>
SSL_accept:TLSv1.3 early data<br>
info_callback where=0x2002, ret=-1<br>
SSL_accept:error in TLSv1.3 early data<br>
<br>
M1 client side:<br>
apps_ssl_info_cb, where=10, ret=1<br>
apps_ssl_info_cb, SSL_connect=before SSL initialization<br>
ssl_msg_cb, writep=1, version=0, len=5, ct=100<br>
ssl_msg_cb, SSLv3/TLS write client hello<br>
ssl_msg_cb, writep=1, version=772, len=512, ct=16<br>
ssl_msg_cb, SSLv3/TLS write client hello<br>
apps_ssl_info_cb, SSL_connect=SSLv3/TLS write client hello<br>
ssl_msg_cb, writep=0, version=0, len=5, ct=100<br>
ssl_msg_cb, SSLv3/TLS write client hello<br>
apps_ssl_info_cb, SSL_connect=SSLv3/TLS write client hello<br>
ssl_msg_cb, writep=0, version=772, len=88, ct=16<br>
ssl_msg_cb, SSLv3/TLS read server hello<br>
apps_ssl_info_cb, SSL_connect=SSLv3/TLS read server hello<br>
ssl_msg_cb, writep=1, version=0, len=5, ct=100<br>
ssl_msg_cb, SSLv3/TLS write change cipher spec<br>
ssl_msg_cb, writep=1, version=772, len=1, ct=14<br>
ssl_msg_cb, SSLv3/TLS write change cipher spec<br>
apps_ssl_info_cb, SSL_connect=SSLv3/TLS write change cipher spec<br>
ssl_msg_cb, writep=1, version=0, len=5, ct=100<br>
ssl_msg_cb, SSLv3/TLS write client hello<br>
ssl_msg_cb, writep=1, version=772, len=512, ct=16<br>
ssl_msg_cb, SSLv3/TLS write client hello<br>
apps_ssl_info_cb, SSL_connect=SSLv3/TLS write client hello<br>
ssl_msg_cb, writep=0, version=0, len=5, ct=100<br>
ssl_msg_cb, SSLv3/TLS write client hello<br>
<br>
and here it hangs until timeout.<br>
<br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature">С уважением,<br>Александр Грянко <br>Phone: +7(962)9558222</div>