<div dir="ltr">Hi Daniel,<div><br></div><div>the "sha-2" error can be easily circumvented, and the dtlsverify=no needs an additional callback in the code to always return a success. Nitesh and I provided some patches here:</div>
<div><br></div><div><a href="https://issues.asterisk.org/jira/browse/ASTERISK-22961">https://issues.asterisk.org/jira/browse/ASTERISK-22961</a><br></div><div><br></div><div>Mine was specifically targeted at getting Firefox to work, but I only tested incoming calls. I didn't test Nitesh's one, but apparently he managed to get it to work as well.</div>
<div><br></div><div>Lorenzo</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014/1/24 Daniel Pocock <span dir="ltr"><<a href="mailto:daniel@pocock.com.au" target="_blank">daniel@pocock.com.au</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 22/02/13 22:09, Matthew Jordan wrote:<br>
> On 02/22/2013 10:40 AM, Mitja Kaučič wrote:<br>
>> Hello Joshua and Matthew.<br>
>><br>
>> I would be happy to contribute with a patch.<br>
>> I just need folowing info:<br>
>> 1. With witch client can i test the current implementation of DTLS-SRTP on asterisk?<br>
> They're rather hard to find.<br>
><br>
> When Josh wrote DTLS-SRTP support for Asterisk, we did a fairly<br>
> exhaustive search looking for clients that (a) supported DTLS-SRTP and<br>
> (b) could be pointed at Asterisk. At the time, no clients met both<br>
> criteria. Those that did support DTLS-SRTP were working hard on creating<br>
> closed networks that did not allow another B2BUA to participate.<br>
><br>
> We tested it by pointing two Asterisk instances at each other and<br>
> running Wireshark. And starting at a lot of pcaps.<br>
><br>
> That situation may have changed.<br>
><br>
>> 2. To configure DTLS-SRTP properly is it enough to just set dtlsenable=yes do i need dtlsSverify and to set dtls certificats for a basic functionality?<br>
> You need a bit more than that. You'll need:<br>
> 1) The correct version of OpenSSL that supports DTLS installed and<br>
> Asterisk built using it<br>
> 2) CA and cert files generated that will be used by the RTP engine<br>
> 3) Properly configured endpoints. For a test run of Asterisk <-><br>
> Asterisk, the configuration of one instance of Asterisk looked something<br>
> like this:<br>
> [snip]<br>
<br>
Was any patch contributed, can anybody comment on whether DTLS-SRTP<br>
support has been extended to work with Firefox yet?<br>
<br>
With the Asterisk 11.7 packages on Debian, calls from Mozilla users are<br>
rejected with the sha-2 errors (see the errors and my config below)<br>
<br>
Notice that I even tried with dtlsverify=no and dtlscipher=ALL and it<br>
still fails.<br>
<br>
OpenSSL version is 1.0.1e-2+deb7u3<br>
<br>
Users are encountering this problem on the public test site<br>
<a href="http://www.sip5060.net/test-calls" target="_blank">http://www.sip5060.net/test-calls</a> - e.g.<br>
<a href="http://danielpocock.com/comment/11269#comment-11269" target="_blank">http://danielpocock.com/comment/11269#comment-11269</a><br>
<br>
<br>
[Jan 24 10:13:58] WARNING[3105][C-0000013d]: chan_sip.c:11034<br>
process_sdp_a_dtls: Unsupported fingerprint hash type 'sha-2' received<br>
on dialog 'j9quvgkcjme7psetsr4q'<br>
[Jan 24 10:13:58] WARNING[3105][C-0000013d]: chan_sip.c:10487<br>
process_sdp: Rejecting secure audio stream without encryption details:<br>
audio 51556 RTP/SAVPF 109 0 8 101<br>
<br>
dtlsenable = yes<br>
dtlsverify = no<br>
; dtlsrekey = 60<br>
dtlscertfile = /etc/ssl/ssl.crt/wsrelay.sip5060.net.pem<br>
dtlsprivatekey = /etc/ssl/private/wsrelay.sip5060.net-key.pem<br>
dtlscipher = ALL  ; Cipher to use for TLS negotiation<br>
;                                    ; A list of valid SSL cipher<br>
strings can be found at:<br>
;                                    ;<br>
<a href="http://www.openssl.org/docs/apps/ciphers.html#CIPHER_STRINGS" target="_blank">http://www.openssl.org/docs/apps/ciphers.html#CIPHER_STRINGS</a><br>
; dtlscafile = file                  ; Path to certificate authority<br>
certificate<br>
dtlscapath = /etc/ssl/certs<br>
dtlssetup = passive<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
_____________________________________________________________________<br>
-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com" target="_blank">http://www.api-digital.com</a> --<br>
<br>
asterisk-dev mailing list<br>
To UNSUBSCRIBE or update options visit:<br>
   <a href="http://lists.digium.com/mailman/listinfo/asterisk-dev" target="_blank">http://lists.digium.com/mailman/listinfo/asterisk-dev</a></font></span></blockquote></div><br></div>