Subj : Re: SSL kaputt? To : All From : Thomas Hochstein Date : Thu Jun 12 2025 08:07:11 From: Thomas Hochstein Jörg Tewes schrieb: > und am > > 8.6. um 01:05 > > hat es das erste Mail nicht mehr funktioniert. Das nur zur Erklärung. Ja, am 07./08.06. ist der Server umgezogen, verbunden mit einem Wechsel von Debian Buster (10.x) auf Debian Bookwork (12-x). Wie gesagt werden sich damit vermutlich Änderungen bei OpenSSL/GnuTLS ergeben haben, die alle TLS-Verbindungen betreffen. Das kann nicht die verlangte Mindestversion gewesen sein, die war schon bei 1.2, aber es ist durchaus möglich, dass Cipher Suites, die vorher akzeptabel waren, es jetzt nicht mehr sind. > Wie es scheint lag es aber an mir, brauchst also nur gucken wenn du > Zeit hast, und vielleicht könntest du mir mitteilen woran es lag. Wenn > du was feststellen kannst. Nichts erhellendes; die Fehlermeldung war "failure to negotiate TLS session", aber das war ja ohnehin der einzige in Betracht kommende Grund. > Ich hatte eine alte Version von OpenXP > installiert. jetzt mit der 5.0.64 scheint alles zu funktionieren, was > vorher mit der 5.0.60 nicht funktionierte. Auf den Hinweis von Franklin habe ich nachgeschaut: | thh@thangorodrim:~$ openssl s_client -connect news.szaf.org:563 -tls1_2 -brief | CONNECTION ESTABLISHED | Protocol version: TLSv1.2 | Ciphersuite: ECDHE-ECDSA-AES256-GCM-SHA384 [...] Tatsache, der Server verlangt jetzt auch "ECDHE-ECDSA-AES256-GCM-SHA384", das in älteren Crosspoint-Versionen nicht zur Verfügung stand, vgl. . Grüße, -thh --- * Origin: rbb sglnx - the fidonet nntp junction (2:221/10) .