OpenSSL 3.5.0 - problem ze STARTTLS (i TLS1_3, czy dogadywaniem odnośnie szyfrowania?)

[Maciej Kędzierski]

Cześć.
Po zmianie openssl-3.4.1 na openssl-3.5.0 (3.5.1 też) pojawił się 
problem z łączeniem na "kilka" serwerów pocztowych po STARTTLS. Kilka, 
to tylko te, które namierzyłem, ale zapewne jest ich więcej.
Tak to wygląda.

# openssl s_client -connect mail.warta.pl:25 -starttls smtp
Connecting to 195.149.64.2
CONNECTED(00000003)

i tak wisi i wisi. W sumie nie wiem jak długo, nie doczekałem nigdy do 
końca.

Podobnie jest dla:
# openssl s_client -connect smtp-02.bnpparibas.pl:25 -starttls smtp
Connecting to 195.35.80.69
CONNECTED(00000003)

Oba obsługują tls1_2, ale nie obsługują tls1_3

Te poniższe zachowują się identycznie, ale obsługują też tls1_3

# openssl s_client -connect mail.ipopema.pl:25 -starttls smtp
Connecting to 77.79.237.102
CONNECTED(00000003)
^C
# openssl s_client -connect smtpemea01.avnet.com:25 -starttls smtp
Connecting to 193.34.102.203
CONNECTED(00000003)

Nawet MX dla intel.com, też wisi:
# openssl s_client -connect mgamail.eglb.intel.com:25 -starttls smtp
Connecting to 192.198.163.10
CONNECTED(00000003)


Wracając do przykładu
# openssl s_client -connect mail.ipopema.pl:25 -starttls smtp
to WISI

# openssl s_client -connect mail.ipopema.pl:25 -starttls smtp -tls1_2
DZIAŁA

openssl s_client -connect mail.ipopema.pl:25 -starttls smtp -tls1_3
WISI


Te wszystkie przykłady to z kilku maszyn z zainstalowanym openssl-3.5.0 
(sprawdzone też na 3.5.1).
Oczywiście na poprzednich wersjach openssl<=3.4.1, wszystko działało 
(działa), ale od 3.5.0 zaczął się problem.

Też tak macie?


Podobny problem był opisywany na tym wątku
https://github.com/openssl/openssl/issues/27557


Pozdrawiam
Maciej