<div dir="ltr"><div>Nice.   I have figured out in the last hour or so  that adding sni to the two entries in my hosts.cfg file seem to fix this issue, and I had never noticed the <br></div><div>sni option before.  Did not have to change the ip? <br></div><div><br></div><div>Thanks,<br></div><div>Matt</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 3, 2020 at 4:46 PM Bruce Ferrell <<a href="mailto:bferrell@baywinds.org">bferrell@baywinds.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
Matt,<br>
<br>
Just for giggles I did a manual test using openssl:<br>
<br>
openssl s_client -connect <a href="http://104.18.5.68:443" rel="noreferrer" target="_blank">104.18.5.68:443</a><br>
<br>
With the following results:<br>
<br>
CONNECTED(00000003)<br>
140619981215560:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:769:<br>
---<br>
no peer certificate available<br>
---<br>
No client certificate CA names sent<br>
---<br>
SSL handshake has read 7 bytes and written 247 bytes<br>
---<br>
New, (NONE), Cipher is (NONE)<br>
Secure Renegotiation IS NOT supported<br>
Compression: NONE<br>
Expansion: NONE<br>
---<br>
<br>
This means that the IP address isn't serving SSL<br>
<br>
One I know is serving SSL:<br>
<br>
openssl s_client -connect <a href="http://50.196.187.248:443" rel="noreferrer" target="_blank">50.196.187.248:443</a><br>
<br>
<br>
CONNECTED(00000003)<br>
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3<br>
verify return:1<br>
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3<br>
verify return:1<br>
depth=0 CN = <a href="http://baywinds.org" rel="noreferrer" target="_blank">baywinds.org</a><br>
verify return:1<br>
---<br>
Certificate chain<br>
  0 s:/CN=<a href="http://baywinds.org" rel="noreferrer" target="_blank">baywinds.org</a><br>
    i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3<br>
  1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3<br>
    i:/O=Digital Signature Trust Co./CN=DST Root CA X3<br>
---<br>
Server certificate<br>
-----BEGIN CERTIFICATE-----<br>
<br>
<cert info><br>
<br>
-----END CERTIFICATE-----<br>
subject=/CN=<a href="http://baywinds.org" rel="noreferrer" target="_blank">baywinds.org</a><br>
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3<br>
---<br>
No client certificate CA names sent<br>
Server Temp Key: ECDH, prime256v1, 256 bits<br>
---<br>
SSL handshake has read 3233 bytes and written 373 bytes<br>
---<br>
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384<br>
Server public key is 2048 bit<br>
Secure Renegotiation IS supported<br>
Compression: NONE<br>
Expansion: NONE<br>
SSL-Session:<br>
     Protocol  : TLSv1.2<br>
     Cipher    : ECDHE-RSA-AES256-GCM-SHA384<br>
     Session-ID: 338A6AA8E41A643BD51B57CB6BF55A9619110159A3390AD761C3E4AB1853437E<br>
     Session-ID-ctx:<br>
     Master-Key: 13BD58F4497A226F3B3713569D39CD38F2445C98E6D91D866BD8AB99CABBAF1D93599AB5CF5150FC2DE4CFDC6E99FADC<br>
     Key-Arg   : None<br>
     Krb5 Principal: None<br>
     PSK identity: None<br>
     PSK identity hint: None<br>
     TLS session ticket lifetime hint: 300 (seconds)<br>
     TLS session ticket:<br>
<br>
blah blah blah<br>
<br>
.......<br>
<br>
Bottom line, that IP address isn't serving HTTPS<br>
<br>
<br>
<br>
<br>
<br>
On 3/3/20 10:05 AM, Matthew Goebel wrote:<br>
> Hello,<br>
><br>
>   We are running xymon 4.3.29 on sles 12 and trying to monitor a website that<br>
> is behind cloudflare but I cannot find a find a combo of https flags in hosts.cfg<br>
> that will connect to cloudflare.  Has anyone else had this issue and come up with<br>
> a solution?  I have literally tried every reasonable combo...<br>
><br>
> "Unspecified SSL error in SSL_con"..., 153Unspecified SSL error in SSL_connect to https (47873/tcp) on host 104.18.5.68 <<a href="http://104.18.5.68" rel="noreferrer" target="_blank">http://104.18.5.68</a>>: error:14094410:SSL <br>
> routines:ssl3_read_bytes:sslv3 alert handshake failure<br>
><br>
> Thanks,<br>
> Matt<br>
><br>
> -- <br>
> Matthew Goebel : <a href="mailto:goebel@emunix.emich.edu" target="_blank">goebel@emunix.emich.edu</a> <mailto:<a href="mailto:goebel@emunix.emich.edu" target="_blank">goebel@emunix.emich.edu</a>> : Unix Jockey @ EMU : Hail Eris<br>
> Neo-Student, Net Lurker, Donut consumer, and procrastinating medher...<br>
>  "Always with the negative waves, Moriarty" - Oddball<br>
>  "Comfort the troubled, and trouble the comfortable." - Dietrich Bonhoeffer<br>
><br>
><br>
> _______________________________________________<br>
> Xymon mailing list<br>
> <a href="mailto:Xymon@xymon.com" target="_blank">Xymon@xymon.com</a><br>
> <a href="http://lists.xymon.com/mailman/listinfo/xymon" rel="noreferrer" target="_blank">http://lists.xymon.com/mailman/listinfo/xymon</a><br>
<br>
<br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Matthew Goebel : <a href="mailto:goebel@emunix.emich.edu" target="_blank">goebel@emunix.emich.edu</a> : Unix Jockey @ EMU : Hail Eris<br>Neo-Student, Net Lurker, Donut consumer, and procrastinating medher...<br> "Always with the negative waves, Moriarty" - Oddball<br> "Comfort the troubled, and trouble the comfortable." - Dietrich Bonhoeffer<br><br></div></div>