修复 git HTTPS 错误:macOS 12 上的“错误密钥长度”

【问题标题】:Fixing git HTTPS Error: "bad key length" on macOS 12修复 git HTTPS 错误:macOS 12 上的“错误密钥长度”
【发布时间】:2021-12-12 12:12:23
【问题描述】:

我正在使用可通过 HTTPS 访问的公司托管 (Bitbucket) git 存储库。访问它(例如git fetch)使用 macOS 11(Big Sur)工作,但在更新到 macOS 12 Monterey 后中断。 *

在将 macOS 更新到 12 Monterey 之后,我之前的 git 设置坏了。现在我收到以下错误消息:

$ git fetch
fatal: unable to access 'https://.../':
error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length

不管怎样,使用curl 也不起作用:

$ curl --insecure -L -v https://...
*   Trying ...
* Connected to ... (...) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length
* Closing connection 0
curl: (35) error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length

通过 Safari 或 Firefox 访问相同的 HTTPS 源是可行的。

据我了解,底层错误“bad key length”错误来自OpenSSL/LibreSSL,这与 git 和 curl 在操作系统升级后失败是一致的。

这是 openssl 的输出:

$ openssl s_client -servername ... -connect ...:443
CONNECTED(00000005)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1
verify return:1
depth=0 ...
4593010348:error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length:
/System/Volumes/Data/SWE/macOS/BuildRoots/b8ff8433dc/Library/Caches/com.apple.xbs
/Sources/libressl/libressl-75/libressl-2.8/crypto/apple/hmac/hmac.c:188:
---
Certificate chain
 ...
---
No client certificate CA names sent
Server Temp Key: DH, 2048 bits
---
SSL handshake has read 4105 bytes and written 318 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : DHE-RSA-AES256-GCM-SHA384
    Session-ID: 1FA062DC9EEC9A310FF8231F1EB11A3BD6E0778F7AB6E98EAD1020A44CF1A407
    Session-ID-ctx:
    Master-Key:
    Start Time: 1635319904
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

我确实尝试将服务器的证书添加到自定义 pem 文件中并设置 http.sslCAInfo,但这不起作用。作为一种解决方法,我目前正在使用解密/重新加密 HTTPS 流量的代理。

如何配置 git(或所有 LibreSSL 用户)以接受服务器的证书?

【问题讨论】:

  • 我不知道,但尽管出现错误消息,但至少 openssl s_client -servername ... -connect ...:443 实际上成功完成了 TLS 握手。如果只是为了尝试隔离问题,我会使用不同的最新版本的 openssl 再次尝试此操作。
  • @PresidentJamesK.Polk 作为罪魁祸首的 SSL 库与操作系统升级后出现的问题一致。但是,这也使得更改 SSL 库变得困难:如您所见,库本身位于 /Library/Caches 内部,即 dyld_shared_cache,这使得更改非常棘手
  • 只有 LibreSSL(不是 OpenSSL)使用函数 FFF=CRYPTO_internal。尽管 OpenSSL 已经定义了这个原因很长一段时间,但 AFAICT 直到 1.1.1d(Libre 分叉之后)才使用它,然后仅用于 RC5(未在 SSL/TLS 中使用)。 Libre 确实将它用于 HMAC,如命令行中的错误详细信息所示,但路径 crypto/apple/hmac/ 表明 Apple 已以可能错误的方式对其进行了修改。它绝对与服务器证书无关。 eBuccaneer 的方法可能通过使用未由苹果修改的 brew 中的 openssl 来工作。

标签: ssl openssl macos-monterey


【解决方案1】:

很遗憾,我无法为您提供修复程序,但我找到了解决完全相同的问题的解决方法(公司托管的 bitbucket 导致完全相同的错误)。 我也不知道问题发生的确切原因,但我最好的猜测是 Monterey 附带的 libressl 库在特定 (?TLSv1.3) 证书方面存在某种问题。这种猜测是因为 brew 安装的 openssl v1.1 和 v3 在使用 /opt/homebrew/opt/openssl/bin/openssl s_client -connect ...:443 执行时不会抛出该错误

为了解决这个错误,我从针对不同 openssl 和 curl 实现的源代码构建了 git:

  1. 用brew安装autoconfopensslcurl(我想你可以选择你喜欢的openssl库,即v1.1或v3,我选择v3)
  2. 克隆你喜欢的git版本,即git clone --branch v2.33.1 https://github.com/git/git.git
  3. cd git
  4. make configure(这就是需要 autoconf 的原因)
  5. 执行LDFLAGS="-L/opt/homebrew/opt/openssl@3/lib -L/opt/homebrew/opt/curl/lib" CPPFLAGS="-I/opt/homebrew/opt/openssl@3/include -I/opt/homebrew/opt/curl/include" ./configure --prefix=$HOME/git(这里LDFLAGS和CPPFLAGS包括git将构建的库,正确的标志由brew在curl和openssl安装成功时发出;--prefix是git的安装目录,默认为@987654329 @ 但可以更改)
  6. make install
  7. 确保将安装目录的子文件夹 /bin 添加到 $PATH 的前面,以“覆盖” Monterey 提供的默认 git
  8. 重启终端
  9. 检查git version 是否显示新版本

这现在应该有所帮助,但正如我已经说过的,这只是一种解决方法,希望 Apple 尽快修复他们的 libressl 分支。

【讨论】:

  • 我宁愿不创建自定义的 git 构建,但是这可行,所以我接受该解决方案。但是,如果有人可以提供不需要这个的不同解决方案,我将不胜感激。
  • 对于我公司的其他用户,我创建了一个自定义自制公式,与标准 git.gb 几乎 1:1 相同;唯一的区别是缺少瓶子和depends_on "curl" 而不是uses_from_macos "curl"
【解决方案2】:

接受的答案有效,但您可能需要检查 lib 和包含路径是否正确

brew info openssl


brew info curl

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2010-12-18
    • 2010-12-22
    • 2014-03-31
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode