Erro ssl3_read_bytes:sslv3 alert certificate unknown

[EFDevelopment]

Configurado o Horse em console para funcionar com ssl, entretanto no modo debug esta me retornando a seguinte mensagem de erro:

Project EFAPI.exe raised exception class EIdOSSLUnderlyingCryptoError with message 'Error accepting connection with SSL.
error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown'.

Alguém poderia me da uma dica do que pode esta acontecendo e como resolver esta questâo?

[neudescolado]

E ai amigo, conseguiu resolver esse problema? Estou me aventurando nesse universo do Horse e estou tendo o mesmo problema por aqui usando o NGINX como servidor HTTPS. Se puder me dar um retorno, quem sabe abrimos um canal para troca de ideias porque é bem difícil encontrar material falando de "HORSE e HTTPS" juntos, 99% do conteúdo sempre aborda HTTP.

Abraço

[fardeadbr]

Eu não sei ao certo como configurar o SSL diretamente na API Horse, nem sei se é possível. O que você pode fazer para resolver o problema é passar pelo NGINX. Ai fica simples, basta configurar o certificado SSL no NGINX, e fazer o direcionamento para sua API, mesmo que seja em modo console. Nesse caso, como o redirecionamento não será com protocolo HTTPS, o ideal é que o NGINX esteja na mesma maquina da API. Para minimizar problemas de segurança. Uma observação, pode parecer besta, mas apanhei com isso no começo, é que se você tentar fazer um certificado auto assinado, usando um OpenSSL por exemplo, o Cliente da requisição vai reclamar que não é um certificado válido. O ideal nesse caso, é que o certificado seja do seu domínio e que o NGINX assim como a API esteja no servidor em que hospeda esse domínio. Outra solução mais simples, seria gerar um módulo apache ou iis, assim vc não se preocupa com o certificado, uma vez instalado no domínio, irá cobrir sua API de forma automática.

[andre-djsystem]

O ideal é que o certificado esteja configurado no domínio, mas caso queira usar direto na aplicação veja https://youtu.be/CY1wLVrVmkI?t=2750

[neudescolado]

Opa, grato pelo retorno antes de mais nada. Pelo visto tivemos os mesmos problemas. Tenho um Apache instalado localmente (não tenho Servidor rodando SSL em minha rede, terei que fazer tudo localmente) e apanhei uns 2 dias para habilitar o SSL nele. Até deu certo mas o Horse não deixava consumir a API reportando ""Error in parsing Command".

Desliguei o Apache e parti pro NGINX, que rodou legal o HTTPS, porém o Horse segue dando esse mesmo erro acima quando tento consumir a API pelo browser com um simples "HTTPS://LOCALHOST:9000/ping", mesmo com certificado criado e configurado no CONF do NGINX.
Pelo que vi é possível definir configurações SSL dentro do Horse (THorse.IOHandleSSL.CertFile, etc), porém neste caso o erro muda para "sslv3 alert certificate unknown". Parece que este erro está associado a versão do INDY instalado nas máquinas, mas não tenho certeza.

Quanto ao video do nosso amigo Andre, vou dar uma olhada assim que possível.

abraço

[fardeadbr]

Posso estar errado, afinal não sou um expert no assunto... até onde sei, o certificado SSL assegura a autenticidade do domínio. Logo não funcionaria corretamente localhost. Se quiser fazer um teste, utilize o próprio postman, e tente enviar uma requisição HTTPS, nesse cenário que vc passou, ele vai reclamar que o certificado não é válido.

[neudescolado]

Pois é, também estou achando que se usar um certificado self-signed, não vai funcionar, pois já tentei de tudo quanto é jeito e a mensagem é sempre a mesma. Pelo que pude ver no vídeo postado pelo nosso amigo André, o próprio HORSE permite acessar requisições HTTPS sem a necessidade de um serviço SSL funcionando, o que dispensaria o uso do NGINX ou do APACHE na máquina, pois se bem entendi foi isso que eles falaram no vídeo. Tentei o código abaixo:

THorse.IOHandleSSL.CertFile := '.\horseCert.pem';
THorse.IOHandleSSL.RootCertFile := ''; //Host do Certificado
THorse.IOHandleSSL.KeyFile := '.\horseKey.pem';
THorse.IOHandleSSL.Active := true;

Quando tento isso recebo "error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown". Se eu apontar o caminho do Root (THorse.IOHandleSSL.RootCertFile := 'caminho'), o Horse me retorna um erro em Japonês. Indo atrás disso, relatam que é um bug do INDY reportado pela própria Embarcadero e que é para atualizá-lo para a versão mais recente.

Pergunta: Você conseguiu fazer um singelo "ping pong" usando HTTPS pelo Horse? Se sim, imagino que a API Horse esteja rodando num Servidor com SSL na sua rede e você esteja consumindo de boa essa API nas máquinas locais, certo?

[fardeadbr]

Com o Horse não, mas tenho algumas em RestDW, que uso o certificado direto na API StandAlone, também com base no INDY, porém em Lazarus. Nessa época apanhei bastante sobre o certificado.

Mas não importa o que vc faça, se for um certificado alto assinado, ou algum PC que não hospede o domínio para qual o certificado foi gerado, vc vai continuar com problemas ao tentar um requisição... no Chrome (apenas exemplo), ele vai te bloquear falando que a conexão não é segura.

A única forma de resolver isso, é um certificado de domínio válido e a API deve estar no mesmo computador da hospedagem, caso contrário... desconheço qualquer forma que funcione.

Como apanhei muito na época, hoje eu uso o NGINX para configurar o SSL e realizar balanceamento de carga. Com isso não preciso me preocupar com as APIs (que estão no mesmo servidor).

Lembrando que eu tenho um servidor de hospedagem Windows/IIS...

[neudescolado]

Ok, após mais alguns rounds de uma luta de Box bem disputada, acho que VENCI (por pontos). Fica aqui o meu parecer caso alguém precise.

Descobri que o HORSE não precisa ter um SERVIÇO SSL rodando para permitir ser consumido usando este protocolo. Para ele funcionar sem esse serviço é preciso configurar no seu código as seguintes linhas:

THorse.IOHandleSSL.CertFile := '.\horsecert.pem'; //Certificado CRT
THorse.IOHandleSSL.RootCertFile := ''; //Host do Certificado (tem que deixar vazio mesmo)
THorse.IOHandleSSL.KeyFile := '.\horsekey.pem'; //chave key

Isso foi explicado num video que um colega postou aqui nesta discussão.

Importante: Esse certificado é SELF-SIGNED, não é um certificado comprado e foi gerado pela própria máquina seguindo as dicas do Google. Portanto para fins de teste parece que não faz diferença usar um certificado válido ou um Self-Signed.

Outro detalhe importante: Se bater o endereço HTTPS://LOCALHOST:9000/ping, ele vai dar um erro no Horse "Error accepting connection with SSL. EOF was observd that violates the protocol." mas assim que você pedir para continuar, ele vai funcionar, ou seja, sua requisição será atendida pelo Horse.

Se trocar por HTTPS://127.0.0.1:9000/ping ele funciona sem erro algum. Não sei exatamente o motivo já que LOCALHOST e 127.0.0.1 deveriam ser a mesma coisa (sei que o DNS tem que atuar quando se usa o LOCALHOST já que é um apelido, mas não vou me aprofundar).

Descobri em minhas pesquisas para resolver esses problemas que há toneladas de situações que podem ocasionar erros ao tentar usar o Horse com HTTPS (versões das bibliotecas "ssleay32.dll" e "libeay32.dll", versão do INDY, geração correta do Certificado) e como ainda existe bem pouco uso desta ferramenta, fica bem difícil se encontrar, principalmente para quem está deixando o universo da programação CLIENTE/SERVIDOR e entrando agora nesse mundo de Servidores de Aplicação.