Erro de SSL no ambiente de homologação da SEFAZ GO

[DatawebDev]

Prezados, boa noite.

Temos um cliente que consegue comunicar com o ambiente de produção da SEFAZ GO, usando seu certificado digital, e com o ACBrNFe configurado para usar OpenSSL e TLS1.2.

Mas no ambiente de homologação, com os mesmos dados, OpenSSL dá erro de SSL (alert handshake failure). Testamos também usando WinCrypt+WinHttp, e dá erro de SSL também (... erros foram encontrados no certificado Secure Sockets Layer (SSL) enviado pelo servidor).

Conseguimos reproduzir o problema no ACBrNFe_Exemplo:

Quote

---------------------------
Acbrnfe_exemplo
---------------------------
WebService Consulta Status serviço:

- Inativo ou Inoperante tente novamente.

Erro Interno: 10091

Erro HTTP: 500

URL: https://homolog.sefaz.go.gov.br/nfe/services/NFeStatusServico4?wsdl

error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

---------------------------
OK   
---------------------------

Quote

---------------------------
Acbrnfe_exemplo
---------------------------
WebService Consulta Status serviço:

- Inativo ou Inoperante tente novamente.

Erro Interno: 12175

Erro HTTP: 0

URL: https://homolog.sefaz.go.gov.br/nfe/services/NFeStatusServico4?wsdl

Erro: 12175 - Um ou mais erros foram encontrados no certificado Secure Sockets Layer (SSL) enviado pelo servidor

---------------------------
OK   
---------------------------

Ainda usando WinCrypt, quando alteramos SSLType de LT_TLSV1_2 para LT_all, SEFAZ GO retorna erro reclamando da versão de TLS usada (abaixo da mínima).

Quote

---------------------------
Acbrnfe_exemplo
---------------------------
WebService Consulta Status serviço:

- Inativo ou Inoperante tente novamente.

Erro Interno: 0

Erro HTTP: 495

URL: https://homolog.sefaz.go.gov.br/nfe/services/NFeStatusServico4?wsdl

<html><body>Voc&#234; tentou acessar os servi&#231;os v4.0 usando o protocolo TLSv1 ao inv&#233;s do protocolo TLS1.2 ou superior. Conforme Nota T&#233;cnica 2016.002 v1.4, isso n&#227;o &#233; permitido. </body></html>

 

Pensamos que poderia ser um erro no certificado digital do cliente, mas o mesmo certificado está em uso normal no ambiente de produção.

Pensamos que poderia ser um erro no ambiente de homologação da SEFAZ GO, mas usando o script Powershell em anexo (Invoke-WebRequest), conseguimos fazer funcionar o mesmo SOAPRequest que falhou no ACBrNFe_Exemplo.

Alguém poderia nos dar uma luz na solução desse problema?

nfe-consstatserv.ps1

[Juliomar Marchetti]

veja se a dll do openssl está com a versão 1.0 superior?

[DatawebDev]

Obrigado pela resposta Juliomar. A versão do OpenSSL é a mais recente das 1.1.1 disponível no repo do ACBr: 1.1.1j, conforme aparece nas imagens da postagem original. Testei também com a 1.0.2.21 e o erro foi o mesmo.

[Daniel Simoes]

Não consegui compreender, os passos para reprodução com OpenSSL... (OpenSSL 1.1.1o  3 May 2022)

Verifique qual a versão do OpenSSL, que está carregada

[DatawebDev]

Oi Daniel. A versão do OpenSSL é a 1.1.1j distribuída pelo ACBr. Está na minha primeira imagem, e última resposta nesse tópico.

De onde posso pegar essa 1.1.1o que tu estás usando? Foi compilada por ti mesmo?

[Daniel Simoes]

no SVN do ACBr http://svn.code.sf.net/p/acbr/code/trunk2/DLLs/OpenSSL/1.1.1.10/X86/

Testei com a J e também tive sucesso...

OpenSSL 1.1.1j  16 Feb 2021

[Daniel Simoes]

Subi uma versão do Demo que compilei...  aqui no fórum..

Pode por favor testar com ela, nessa máquina ?

 

[DatawebDev]

Muito obrigado Daniel! Testarei agora mesmo, e reporto resultado em seguida.

[Daniel Simoes]

45 minutos atrás, DatawebDev disse:

De onde posso pegar essa 1.1.1o que tu estás usando? Foi compilada por ti mesmo?

estava no meu SysWow64.. provavelmente outra aplicação instalou... mas tente aqui

https://slproweb.com/products/Win32OpenSSL.html

[DatawebDev]

Daniel, o problema persiste no teu ACBrNFe_Exemplo.

As DLL do OpenSSL que acompanham ele são da mesma versão (1.1.1.10) que eu estava usando.

[Daniel Simoes]

Então parece ser algum bloqueio nessa máquina.. ou nesse certificado...

Se desejar/puder, me envia o certificado no Privado, que posso testar aqui...

[DatawebDev]

Testei com a versão 1.1.1.20 do OpenSSL, mas o resultado foi o mesmo.

35 minutes ago, Daniel Simoes said:

Se desejar/puder, me envia o certificado no Privado, que posso testar aqui...

Muito obrigado pela ajuda Daniel! Pedirei permissão para o nosso cliente, dono do certificado, e ele permitindo, já te envio por mensagem privada.

[Renato Rubinho]

Em 04/05/2023 at 18:54, DatawebDev disse:

Confirme se o  SSType ainda está tls1.2

Aumente o timeout por via das dúvidas para 30k

Faça um teste executando o programa como administrador, caso não tenha feito.

[DatawebDev]

Obrigado pela resposta Renato. Sim, SSLType continua com LT_TLSv1_2, como na primeira imagem.

Testei agora com timeout de 30k e deu o mesmo erro de falha no handshake.

Em nenhuma máquina daqui eu consigo comunicar com a SEFAZ-GO usando o certificado digital desse cliente com a OpenSSL (independente da versão).

Na máquina de dev (Win8.1) eu não consigo comunicar com a SEFAZ-GO nem usando WinCrypt (crypt32.dll v6.3.9600.16431).

Mas em máquina com Win10 eu consigo comunicar usando a WinCrypt (crypt32.dll v10.0.19041.2486) e com esse certificado digital do cliente.

Aguardarei a permissão do cliente para que possa enviar o certificado digital ao Daniel, para investigarmos esse problema do cert. com OpenSSL.