<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">

<html lang="en" style='--code-editor-font: var(--default-mono-font, "GitLab Mono"), JetBrains Mono, Menlo, DejaVu Sans Mono, Liberation Mono, Consolas, Ubuntu Mono, Courier New, andale mono, lucida console, monospace;'>

<head>

<meta content="text/html; charset=utf-8" http-equiv="Content-Type">

<title>

GitLab

</title>

<style data-premailer="ignore" type="text/css">

a { color: #1068bf; }

</style>

<style>img {

max-width: 100%; height: auto;

}

body {

font-size: .875rem;

}

body {

-webkit-text-shadow: rgba(255,255,255,.01) 0 0 1px;

}

body {

font-family: "GitLab Sans",-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,"Noto Sans",Ubuntu,Cantarell,"Helvetica Neue",sans-serif,"Apple Color Emoji","Segoe UI Emoji","Segoe UI Symbol","Noto Color Emoji"; font-size: inherit;

}

</style>

</head>

<body style='font-size: inherit; -webkit-text-shadow: rgba(255,255,255,.01) 0 0 1px; font-family: "GitLab Sans",-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,"Noto Sans",Ubuntu,Cantarell,"Helvetica Neue",sans-serif,"Apple Color Emoji","Segoe UI Emoji","Segoe UI Symbol","Noto Color Emoji";'>

<div class="content">

<p style="color: #777777;">

<a href="https://gitlab.com/asosedkin">Alexander Sosedkin</a>

<a href="https://gitlab.com/gnutls/gnutls/-/issues/1739#note_2763354889">commented</a>:

</p>

<div class="md" style="position: relative; z-index: 1; color: #3a383f; word-wrap: break-word;">

<blockquote dir="auto" style="font-size: inherit; color: #626168; padding-top: 0.5rem; padding-bottom: 0.5rem; padding-left: 1rem; border-left-style: solid; margin: 0 0 0.5rem; border-color: #bfbfc3; border-width: 0 0 0 4px;" align="initial">

<p style="color: inherit; line-height: 1.5; margin: 0;">We think that the remote's closing its sending side of the TCP connection without using some sort of a TLS message (an alert?) beforehand that it's about to do so, somehow upsets GNUTLS.</p>

</blockquote>

<p dir="auto" style="color: #3a383f; margin: 0 0 1rem;" align="initial">A solid hypothesis, if only there was some quick way to check it...</p>

<p dir="auto" style="color: #3a383f; margin: 0 0 1rem;" align="initial">TLS 1.3 specification section titled "Closure Alerts" is here: <a href="https://datatracker.ietf.org/doc/html/rfc8446#section-6.1" rel="nofollow noreferrer noopener" target="_blank" style="margin-top: 0;">https://datatracker.ietf.org/doc/html/rfc8446#section-6.1</a>,

and here's one for TLS 1.2: <a href="https://datatracker.ietf.org/doc/html/rfc5246#section-7.2.1" rel="nofollow noreferrer noopener" target="_blank">https://datatracker.ietf.org/doc/html/rfc5246#section-7.2.1</a>, trivially reachable from <a href="https://security.stackexchange.com/questions/82028/ssl-tls-is-a-server-always-required-to-respond-to-a-close-notify" rel="nofollow noreferrer noopener" target="_blank">what I get as the first google result for "how are tls connections closed"</a>.</p>

<blockquote dir="auto" style="font-size: inherit; color: #626168; padding-top: 0.5rem; padding-bottom: 0.5rem; padding-left: 1rem; border-left-style: solid; margin: 0.5rem 0; border-color: #bfbfc3; border-width: 0 0 0 4px;" align="initial">

<p style="color: inherit; line-height: 1.5; margin: 0 0 1rem;">The client and the server must share knowledge that the connection is

ending in order to avoid a truncation attack.</p>

<p style="color: inherit; line-height: 1.5; margin: 0 0 1rem;">...</p>

<p style="color: inherit; line-height: 1.5; margin: 0;">Each party MUST send a "close_notify" alert before closing its write

side of the connection, unless it has already sent some error alert.</p>

</blockquote>

<p dir="auto" style="color: #3a383f; margin: 0 0 1rem;" align="initial">Case closed.</p>

<blockquote dir="auto" style="font-size: inherit; color: #626168; padding-top: 0.5rem; padding-bottom: 0.5rem; padding-left: 1rem; border-left-style: solid; margin: 0.5rem 0; border-color: #bfbfc3; border-width: 0 0 0 4px;" align="initial">

<p style="color: inherit; line-height: 1.5; margin: 0;">But we don't know much about the intricacies of TLS and would really appreciate if you could take a look as to why GNUTLS can't handle the request above.</p>

</blockquote>

<p dir="auto" style="color: #3a383f; margin: 0 0 1rem;" align="initial">It can. It'll then rightfully report the insecure protocol violation by the other peer to whatever code is using gnutls.</p>

<p dir="auto" style="color: #3a383f; margin: 0;" align="initial">The gnutls support mailing list is <a href="https://lists.gnutls.org/mailman/listinfo/gnutls-help" rel="nofollow noreferrer noopener" target="_blank" style="margin-top: 0;">gnutls-help@lists.gnutls.org</a>. This is a bugtracker for issues in gnutls, and nothing in your report suggests gnutls misbehaving.</p>

</div>

</div>

<div class="footer" style="margin-top: 10px;">

<p style="font-size: small; color: #626168;">

—

<br>

Reply to this email directly or <a href="https://gitlab.com/gnutls/gnutls/-/issues/1739#note_2763354889">view it on GitLab</a>.

<br>

You're receiving this email because of your account on <a target="_blank" rel="noopener noreferrer" href="https://gitlab.com">gitlab.com</a>. <a href="https://gitlab.com/-/sent_notifications/1-3my7fo55zisa2aessj6iykdv8/unsubscribe" target="_blank" rel="noopener noreferrer">Unsubscribe</a> from this thread · <a href="https://gitlab.com/-/profile/notifications" target="_blank" rel="noopener noreferrer" class="mng-notif-link">Manage all notifications</a> · <a href="https://gitlab.com/help" target="_blank" rel="noopener noreferrer" class="help-link">Help</a>

<span style="color: transparent; font-size: 0; display: none; overflow: hidden; opacity: 0; width: 0; height: 0; max-width: 0; max-height: 0;">

Notification message regarding https://gitlab.com/gnutls/gnutls/-/issues/1739#note_2763354889 at 1758272419

</span>

<script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","action":{"@type":"ViewAction","name":"View Issue","url":"https://gitlab.com/gnutls/gnutls/-/issues/1739#note_2763354889"}}</script>

</p>

</div>

</body>

</html>