
<div dir="ltr"><div class="gmail_default"><span style="color:rgb(0,0,0)"><span style="font-family:comic sans ms,sans-serif">Hi Jeff,<br>Thanks for the response. I am using PJSIP soft clients and PJSIP uses TLSv1 by default. Even on network traces (using wireshark), I can observed TLSv1 protocol is being used. I am not getting why it is falling back on sslv3.<br><br>Could you please guide me here? Polease correct me in case I miss something here.<br><br>More-ever, I have something as following in "extensions.conf"<br><br>exten = 100,1,Answer()<br>same = n,Wait(1)<br>same = n,Playback(hello-world)<br>same = n,Hangup()<br><br>And call to 100 (Req URI - INVITE <a href="mailto:sips%3A100@pbx.asterisk1.org">sips:100@pbx.asterisk1.org</a>;trasnport=tls SIP/2.0) from either of PJSIP soft clients works perfectly. So I wonder, how it works here and it fails when I dial an extension configured on a soft phones<br><br>--<br></span></span></div><div class="gmail_extra"><div class="gmail_default"><span style="color:rgb(0,0,0)"><span style="font-family:comic sans ms,sans-serif">Thanks</span></span></div><div><div class="gmail_signature"><div dir="ltr"><span style="color:rgb(0,0,0)"><span style="font-family:comic sans ms,sans-serif">Atul Thosar<br><br></span></span></div></div></div><span style="color:rgb(0,0,0)"><span style="font-family:comic sans ms,sans-serif">

</span></span><br><div class="gmail_quote">On 2 November 2014 22:50, Jeffrey Walton <span dir="ltr"><<a href="mailto:noloader@gmail.com" target="_blank">noloader@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">>   == Problem setting up ssl connection: error:14094410:SSL<br>

> routines:SSL3_READ_BYTES:sslv3 alert handshake failure<br>

> [Nov  2 21:20:05] WARNING[3571]: tcptls.c:673 handle_tcptls_connection: FILE<br>

> * open failed!<br>

</span>It sounds like SSLv3 is being used by one of the endpoints.<br>

<br>

SSLv3 is broken. Its been known broken for about 10 years. Its been<br>

"more" broken recently (???). It should not have been used previous to<br>

POODLE, and it should not be used now.<br>

<br>

And don't use that crap UA's came up with (TLS_FALLBACK_SCSV). Always<br>

advertise the protocols you are willing to accept, and don't fallback<br>

to insecure protocols.<br>

<br>

My protocol selections are TLS 1.0, 1.1 and 1.2. I allow TLS 1.0 for<br>

interoperability, but I'd like to bury it too. If you control the<br>

server and the clients, then you should be able to safely kill-off TLS<br>

1.0 since interop is not a concern.<br>

<br>

Jeff<br>

<div class="HOEnZb"><div class="h5"><br>

On Sun, Nov 2, 2014 at 11:35 AM, Atul Thosar <<a href="mailto:atulthosar@gmail.com">atulthosar@gmail.com</a>> wrote:<br>

> Hi All,<br>

> I am using "asterisk-11.12.0" version and I am trying to setup secure call<br>

> (TLS + SRTP) between two extensions and while making a call, I got following<br>

> error<br>

><br>

> *CLI>   == Using SIP RTP CoS mark 5<br>

>     -- Executing [6004@from-office:1] Dial("SIP/6003-00000000",<br>

> "SIP/6004,20") in new stack<br>

>   == Using SIP RTP CoS mark 5<br>

>     -- Called SIP/6004<br>

> SSL certificate ok<br>

>   == Problem setting up ssl connection: error:14094410:SSL<br>

> routines:SSL3_READ_BYTES:sslv3 alert handshake failure<br>

> [Nov  2 21:20:05] WARNING[3571]: tcptls.c:673 handle_tcptls_connection: FILE<br>

> * open failed!<br>

><br>

> I followed instruction given in<br>

> "<a href="https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial" target="_blank">https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial</a>", but no<br>

> luck.<br>

> I googled around the issue and found solution mentioned by Patrick<br>

> (<a href="https://www.mail-archive.com/asterisk-users@lists.digium.com/msg274038.html" target="_blank">https://www.mail-archive.com/asterisk-users@lists.digium.com/msg274038.html</a>)<br>

><br>

> Did anyone has tried this solution and found it is working? I tried to<br>

> create certificates with keyUsage/extendedKeyUsage, but it is not working.<br>

><br>

> I have one more query - When the SIP user agents are able to register<br>

> successfully with TLS, why more handshake is required while making a call?<br>

> Can't Asterisk use existing TLS connection with Leg B to forward INVITE<br>

> request? Could anyone please educate me on the same? I am little confused<br>

> here.<br>

><br>

> Thanks in advance.<br>

> --<br>

> Atul Thosar<br>

<br>

</div></div><span class="HOEnZb"><font color="#888888">--<br>

_____________________________________________________________________<br>

-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com" target="_blank">http://www.api-digital.com</a> --<br>

New to Asterisk? Join us for a live introductory webinar every Thurs:<br>

               <a href="http://www.asterisk.org/hello" target="_blank">http://www.asterisk.org/hello</a><br>

<br>

asterisk-users mailing list<br>

To UNSUBSCRIBE or update options visit:<br>

   <a href="http://lists.digium.com/mailman/listinfo/asterisk-users" target="_blank">http://lists.digium.com/mailman/listinfo/asterisk-users</a><br>

</font></span></blockquote></div><br></div></div>