friendica (DFRN) - Link zum Originalbeitrag

!Friendica Support
Noch einmal die Frage, warum muss man bei einem Update jetzt bei git von Friendica ein User/Passwort angeben?

bin/composer.phar run install:prod
Installing dependencies from lock file
Verifying lock file contents can be installed on current platform.
Package operations: 1 install, 14 updates, 1 removal
  - Syncing friendica/json-ld (1.1.5) into cache
    Authentication required (git.friendi.ca):
      Username: xxxx
      Password:
!Friendica Support

Friendica Support hat dies geteilt.

Als Antwort auf Hiker

friendica - Link zum Originalbeitrag

utzer

@Hiker hmm OK, gleiches Problem wie neulich, Cyon nutzt wohl CentOS 7?

Das Problem ist kein Login, sondern ein TLS-Kompatibilitätsproblem des alten EL7/CentOS7-Stacks. git.friendi.ca verlangt eine modernere TLS-Aushandlung, während der betroffene Server mit OpenSSL/1.0.2k-fips beim Git-Clone scheitert.

Teste mal:
git --version; curl --version; openssl version; git -c http.sslVersion=tlsv1.2 ls-remote git.friendi.ca/friendica/php-j…

gegen das hier:
git --version; curl --version; openssl version; git ls-remote git.friendi.ca/friendica/php-j…

@Hiker
Als Antwort auf utzer

friendica (DFRN) - Link zum Originalbeitrag

Hiker 

git version 2.36.6
curl 8.9.1 (x86_64-pc-linux-gnu) libcurl/8.9.1 OpenSSL/1.0.2k-fips zlib/1.2.7 brotli/1.0.9 libidn2/2.3.7 libpsl/0.7.0 (+libicu/50.1.2) libssh2/1.10.0 nghttp2/1.33.0 OpenLDAP/2.4.44
Release-Date: 2024-07-31
Protocols: dict file ftp ftps gopher gophers http https imap imaps ipfs ipns ldap ldaps mqtt pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp
Features: alt-svc AsynchDNS brotli HSTS HTTP2 HTTPS-proxy IDN IPv6 Largefile libz NTLM PSL SSL threadsafe UnixSockets
OpenSSL 1.0.2k-fips  26 Jan 2017

beide git ls-remote geben:

fatal: unable to access 'https://git.friendi.ca/friendica/php-json-ld.git/': OpenSSL/1.0.2k-fips: error:1407742E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol version

Friendica Support hat dies geteilt.

Als Antwort auf Hiker

friendica - Link zum Originalbeitrag

utzer

@Hiker hmm ja dann habe ich schlechte Nachrichten, die Lösung scheint zu sein auf eine 8er Uberspace umzuziehen. 😕

So meinte zumindest @Uberspace Support neulich.

@Tobias sollten wir da vielleicht eine Notiz in den Updateanleitungen einbauen, dass U7 nicht mehr kompatibel sind?

Ob das von github aus noch geht, dann müsste man nur auf github switchen?

@Hiker @Uberspace Support @Tobias
Als Antwort auf utzer

friendica - Link zum Originalbeitrag

utzer

@Hiker @Tobias @Michael 🇺🇦

Kurzes Update: git.friendi.ca war TLS-seitig auf „Modern“ gestellt. Das ist sauber, aber für einige ältere Umgebungen zu streng.

Ich habe die TLS-Konfiguration jetzt auf „Intermediate“ gesetzt. Ergebnis: Moderne Clients nutzen weiterhin TLS 1.3/TLS 1.2 mit starken Ciphern, TLS 1.0 und TLS 1.1 bleiben abgelehnt. Ein Test mit einem frischen CentOS-7-Docker-Container funktioniert jetzt wieder:

git 1.8.3.1
curl 7.29.0
OpenSSL 1.0.2k-fips

`git ls-remote git.friendi.ca/friendica/php-j… liefert wieder die Tags inkl. 1.1.5.

Damit sollte der Composer-Lauf jetzt wieder funktionieren.

Trotzdem: CentOS 7 und ähnliche alte Hosting-Umgebungen sollten langsam wirklich aussterben. Wer noch darauf sitzt, sollte mittelfristig über einen Umzug auf eine modernere Plattform nachdenken.

@Hiker @Michael 🇺🇦 @Tobias
Als Antwort auf utzer

friendica - Link zum Originalbeitrag

utzer

@Michael 🇺🇦 @Tobias @Hiker ich lass das jetzt so.

Das Risiko liegt halt bei den Clients und Nutzern, nicht bei mir. Moderne Software (bspw. Firefox) nutzt diese alten Cipher und TLS-Versionen nicht, damit sind moderne Clients sicher. Soweit ich das verstehe.

Und für meinen Server sollte es auch keine Rolle spielen.

@Hiker @Michael 🇺🇦 @Tobias