Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1333 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

TLSv1 and SSLv2 McAfee AV updates

Jim Tagert
I'm not sure about all this SSL stuff yet, but I have been watching it. 

The updater for McAfee products uses TLSv1 
and the ASG answers with SSLv2 
then they both start speaking TLSv1, 
McAfee offers a cert, 
ASG acknowledges (TCP)
and then initiates client key exchange, change cipher spec, encrypted handshake messsage
Mcafee sends change cipher spec, encrypted handshake message,
ASG sends encrypted alert,
and then sends a fin/ack
some acks and fin/acks go on 
and then McAfee sends a rst/ack
ASG sends ack

The update did not take place.

What happened?

What can I do to make McAfee update function again with scan SSL enabled?



Thanks,
Jim

I have watched the packets with cert check trust and date on and off. Same result, ASG sends encrypted alert and the handshake starts over...


This thread was automatically locked due to age.
  • 0
    What exact McAfee product are you using?

    Cheers,

    Sven.
  • 0 in reply to svens
    What exact McAfee product are you using?

    Cheers,

    Sven.


    Internet Security 2009. I only use AV (for viri) & FW (assist with outbound detection) nothing else.

    Jim
  • 0 in reply to Jim Tagert
    Client and Server say "Hello"

    McAfee offers a "Certificate"
    The server sends its certificate to the client. The server certificate contains the server’s public key. The client will use this key to authenticate the server and to encrypt the premaster secret.

    ASG sends an "Ack"

    ASG sends a "Client Key Exchange"
    This message notifies the server that all messages that follow the Client Finished message will be encrypted using the keys and algorithms just negotiated.

    McAfee sends a "Change Cipher Spec"
    This message notifies the client that the server will begin encrypting messages with the keys just negotiated. I assume the "Master Secret" key...

    I think that the ASG should send:
    Server Finished Message. This message is a hash of the entire exchange to this point using the session key and the MAC secret. If the client is able to successfully decrypt this message and validate the contained hashes, it is assured that the SSL/TLS handshake was successful, and the keys computed on the client machine match those computed on the server.

    but instead ASG sends an "Encrypted Alert" (see below)

    ASG sends a "Fin/Ack"

    McAfee sends a "Fin/Ack"

    ASG sends an "Ack"

    ASG sends another "Fin/Ack"

    McAfee sends and "Ack"

    What someone sees in their browser is:

    Secure Connection Failed
    An error occurred during a connection to us.mcafee.com.
    Cannot communicate securely with peer: no common encryption algorithm(s).
    (Error code: ssl_error_no_cypher_overlap)

    Alert messages could be:

    Alert Message              /Fatal? /Description

    unexpected_message /Yes /Inappropriate message

    bad_record_mac /Yes /Incorrect MAC

    decryption_failed         /Yes /Unable to decrypt TLSCiphertext correctly

    record_overflow /Yes /Record is more than 2^14+1024 bytes

    handshake_failure         /Yes /Unacceptable security parameters

    bad_certificate /Yes /There is a problem with the Certificate

    unsupported_certificate /No /Certificate is unsupported

    certificate_revoked /No /Certificate has been revoked

    certificate_expired /No /Certificate has expired

    certificate_unknown /No /Certificate is unknown

    illegal_parameter         /Yes /Security parameters violated

    unknown_ca /Yes /CA unknown

    access_denied /Yes /Sender does not want to negotiate

    decode_error /Yes /Unable to decode message

    decrypt_error /Yes /Handshake cryptographic operation failed

    export_restriction         /Yes /Not in compliance with export regulations

    protocol_version         /Yes /Protocol version not supported by both parties

    insufficient_security /Yes /Security requirements no met

    internal_error /Yes /Error not related to protocol

    user_canceled /Yes /Not related to protocol failure

    no_renegotiation         /No /Negotiation request rejected.

    ssldump might give me the actual alert if I had the correct key.

    Does anyone have some additional input?
    Why didn't the ASG manage the key and connect?
    Is this a bug?


    Jim
Unfiltered HTML