10

我正在使用可通过 HTTPS 访问的公司托管 (Bitbucket) git 存储库。使用 macOS 11 (Big Sur) 可以访问它(例如git fetch),但在更新到 macOS 12 Monterey 后中断。*

在将 macOS 更新到 12 Monterey 之后,我之前的 git 设置坏了。现在我收到以下错误消息:

$ git fetch
fatal: unable to access 'https://.../':
error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length

对于它的价值, usingcurl也不起作用:

$ curl --insecure -L -v https://...
*   Trying ...
* Connected to ... (...) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length
* Closing connection 0
curl: (35) error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length

通过 Safari 或 Firefox 访问相同的 HTTPS 源是可行的。

据我了解,底层错误“bad key length”错误来自OpenSSL / LibreSSL,这与 git 和 curl 在操作系统升级后失败是一致的。

这是 openssl 的输出:

$ openssl s_client -servername ... -connect ...:443
CONNECTED(00000005)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1
verify return:1
depth=0 ...
4593010348:error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length:
/System/Volumes/Data/SWE/macOS/BuildRoots/b8ff8433dc/Library/Caches/com.apple.xbs
/Sources/libressl/libressl-75/libressl-2.8/crypto/apple/hmac/hmac.c:188:
---
Certificate chain
 ...
---
No client certificate CA names sent
Server Temp Key: DH, 2048 bits
---
SSL handshake has read 4105 bytes and written 318 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : DHE-RSA-AES256-GCM-SHA384
    Session-ID: 1FA062DC9EEC9A310FF8231F1EB11A3BD6E0778F7AB6E98EAD1020A44CF1A407
    Session-ID-ctx:
    Master-Key:
    Start Time: 1635319904
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

我确实尝试将服务器的证书添加到自定义 pem 文件中并设置 http.sslCAInfo,但这不起作用。作为一种解决方法,我目前正在使用解密/重新加密 HTTPS 流量的代理。

如何配置 git(或所有 LibreSSL 用户)以接受服务器的证书?

4

5 回答 5

10

设置这个 ENV var(例如~/.zshrc)对我有用

export CURL_SSL_BACKEND="secure-transport"
于 2022-02-01T14:18:55.197 回答
6

不幸的是,我无法为您提供修复,但我找到了解决完全相同的问题的解决方法(公司托管的 bitbucket 导致完全相同的错误)。我也不知道问题发生的确切原因,但我最好的猜测是 Monterey 附带的 libressl 库在特定 (?TLSv1.3) 证书方面存在某种问题。这个猜测是因为 brew 安装的 openssl v1.1 和 v3 在执行时不会抛出该错误/opt/homebrew/opt/openssl/bin/openssl s_client -connect ...:443

为了解决这个错误,我从针对不同 openssl 和 curl 实现的源代码构建了 git:

  1. install autoconf, openssland curlwith brew (我想你可以选择你喜欢的openssl库,即v1.1或v3,我选择v3)
  2. 克隆你喜欢的git版本,即git clone --branch v2.33.1 https://github.com/git/git.git
  3. cd git
  4. make configure(这就是需要 autoconf 的原因)
  5. 执行LDFLAGS="-L/opt/homebrew/opt/openssl@3/lib -L/opt/homebrew/opt/curl/lib" CPPFLAGS="-I/opt/homebrew/opt/openssl@3/include -I/opt/homebrew/opt/curl/include" ./configure --prefix=$HOME/git(这里 LDFLAGS 和 CPPFLAGS 包括 git 将构建的库,正确的标志由 brew 在 curl 和 openssl 安装成功时发出;--prefix 是 git 的安装目录,默认为/usr/local但可以更改)
  6. make install
  7. 确保将安装目录的子文件夹添加/bin到您的前面$PATH以“覆盖” Monterey 提供的默认 git
  8. 重启终端
  9. 检查是否git version显示新版本

这现在应该有所帮助,但正如我已经说过的,这只是一种解决方法,希望 Apple 尽快修复他们的 libressl fork。

于 2021-11-02T07:12:04.513 回答
3

显然,Apple 已在 macOS Monterey 12.3 developer beta 2 及更高版本上更新了 LibreSSL 版本,因此此问题不再发生。稳定的 12.3 版本尚未发布,但我已经测试了开发人员测试版并确认它为我解决了问题,因此很快就不需要部署此问题中提到的解决方法。

我猜 macOS 12.3 可能会在下个月的某个时候发布。

于 2022-02-17T02:39:30.517 回答
0

接受的答案有效,但您可能需要检查 lib 和包含路径是否正确

brew info openssl


brew info curl
于 2021-11-08T19:10:11.780 回答
0

花了将近 3 周的时间在 MACOS 12.1 Monterey 上解决了这个问题。我得到

fatal: unable to access 'https://.../':
error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length

这是有效的:

  1. 在带有 zsh (Z Shell) 的终端中执行:

    echo 'export CURL_SSL_BACKEND="secure-transport" ' >> ~/.zshenv

  2. 重新加载更改。在终端中输入以下行

    源 ~/.zshenv

  3. 检查您的新变量是否设置正确。在终端中输入以下行

    回声 CURL_SSL_BACKEND

于 2022-02-02T08:12:01.393 回答