<div dir="ltr"><div class="gmail_default"><span style="color:rgb(0,0,0)"><span style="font-family:comic sans ms,sans-serif">Hi Jeff,<br>Thanks for the response. I am using PJSIP soft clients and PJSIP uses TLSv1 by default. Even on network traces (using wireshark), I can observed TLSv1 protocol is being used. I am not getting why it is falling back on sslv3.<br><br>Could you please guide me here? Polease correct me in case I miss something here.<br><br>More-ever, I have something as following in "extensions.conf"<br><br>exten = 100,1,Answer()<br>same = n,Wait(1)<br>same = n,Playback(hello-world)<br>same = n,Hangup()<br><br>And call to 100 (Req URI - INVITE <a href="mailto:sips%3A100@pbx.asterisk1.org">sips:100@pbx.asterisk1.org</a>;trasnport=tls SIP/2.0) from either of PJSIP soft clients works perfectly. So I wonder, how it works here and it fails when I dial an extension configured on a soft phones<br><br>--<br></span></span></div><div class="gmail_extra"><div class="gmail_default"><span style="color:rgb(0,0,0)"><span style="font-family:comic sans ms,sans-serif">​Thanks​</span></span></div><div><div class="gmail_signature"><div dir="ltr"><span style="color:rgb(0,0,0)"><span style="font-family:comic sans ms,sans-serif">Atul Thosar<br><br></span></span></div></div></div><span style="color:rgb(0,0,0)"><span style="font-family:comic sans ms,sans-serif">
</span></span><br><div class="gmail_quote">On 2 November 2014 22:50, Jeffrey Walton <span dir="ltr"><<a href="mailto:noloader@gmail.com" target="_blank">noloader@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">>   == Problem setting up ssl connection: error:14094410:SSL<br>
> routines:SSL3_READ_BYTES:sslv3 alert handshake failure<br>
> [Nov  2 21:20:05] WARNING[3571]: tcptls.c:673 handle_tcptls_connection: FILE<br>
> * open failed!<br>
</span>It sounds like SSLv3 is being used by one of the endpoints.<br>
<br>
SSLv3 is broken. Its been known broken for about 10 years. Its been<br>
"more" broken recently (???). It should not have been used previous to<br>
POODLE, and it should not be used now.<br>
<br>
And don't use that crap UA's came up with (TLS_FALLBACK_SCSV). Always<br>
advertise the protocols you are willing to accept, and don't fallback<br>
to insecure protocols.<br>
<br>
My protocol selections are TLS 1.0, 1.1 and 1.2. I allow TLS 1.0 for<br>
interoperability, but I'd like to bury it too. If you control the<br>
server and the clients, then you should be able to safely kill-off TLS<br>
1.0 since interop is not a concern.<br>
<br>
Jeff<br>
<div class="HOEnZb"><div class="h5"><br>
On Sun, Nov 2, 2014 at 11:35 AM, Atul Thosar <<a href="mailto:atulthosar@gmail.com">atulthosar@gmail.com</a>> wrote:<br>
> Hi All,<br>
> I am using "asterisk-11.12.0" version and I am trying to setup secure call<br>
> (TLS + SRTP) between two extensions and while making a call, I got following<br>
> error<br>
><br>
> *CLI>   == Using SIP RTP CoS mark 5<br>
>     -- Executing [6004@from-office:1] Dial("SIP/6003-00000000",<br>
> "SIP/6004,20") in new stack<br>
>   == Using SIP RTP CoS mark 5<br>
>     -- Called SIP/6004<br>
> SSL certificate ok<br>
>   == Problem setting up ssl connection: error:14094410:SSL<br>
> routines:SSL3_READ_BYTES:sslv3 alert handshake failure<br>
> [Nov  2 21:20:05] WARNING[3571]: tcptls.c:673 handle_tcptls_connection: FILE<br>
> * open failed!<br>
><br>
> I followed instruction given in<br>
> "<a href="https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial" target="_blank">https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial</a>", but no<br>
> luck.<br>
> I googled around the issue and found solution mentioned by Patrick<br>
> (<a href="https://www.mail-archive.com/asterisk-users@lists.digium.com/msg274038.html" target="_blank">https://www.mail-archive.com/asterisk-users@lists.digium.com/msg274038.html</a>)<br>
><br>
> Did anyone has tried this solution and found it is working? I tried to<br>
> create certificates with keyUsage/extendedKeyUsage, but it is not working.<br>
><br>
> I have one more query - When the SIP user agents are able to register<br>
> successfully with TLS, why more handshake is required while making a call?<br>
> Can't Asterisk use existing TLS connection with Leg B to forward INVITE<br>
> request? Could anyone please educate me on the same? I am little confused<br>
> here.<br>
><br>
> Thanks in advance.<br>
> --<br>
> Atul Thosar<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
_____________________________________________________________________<br>
-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com" target="_blank">http://www.api-digital.com</a> --<br>
New to Asterisk? Join us for a live introductory webinar every Thurs:<br>
               <a href="http://www.asterisk.org/hello" target="_blank">http://www.asterisk.org/hello</a><br>
<br>
asterisk-users mailing list<br>
To UNSUBSCRIBE or update options visit:<br>
   <a href="http://lists.digium.com/mailman/listinfo/asterisk-users" target="_blank">http://lists.digium.com/mailman/listinfo/asterisk-users</a><br>
</font></span></blockquote></div><br></div></div>