修复 macOS 12 上的 git HTTPS 错误：“错误的密钥长度”

Question

我使用的是公司托管的 (Bitbucket) git 存储库，可以通过 HTTPS 访问。使用 macOS 11 (Big Sur) 可以访问它（例如git fetch），但在更新到 macOS 12 Monterey 后出现故障。*

将 macOS 更新到 12 Monterey 后，我之前的 git 设置崩溃了。现在我收到以下错误消息：

$ git fetch
fatal: unable to access 'https://.../':
error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length

就其价值而言，使用curl也不起作用：

$ curl --insecure -L -v https://...
*   Trying ...
* Connected to ... (...) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length
* Closing connection 0
curl: (35) error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length

通过 Safari 或 Firefox 访问相同的 HTTPS 源是可行的。

据我了解，底层错误“错误的密钥长度”错误来自OpenSSL / LibreSSL，这与操作系统升级后 git 和 curl 失败一致。

这是 openssl 的输出：

$ openssl s_client -servername ... -connect ...:443
CONNECTED(00000005)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1
verify return:1
depth=0 ...
4593010348:error:06FFF089:digital envelope routines:CRYPTO_internal:bad key length:
/System/Volumes/Data/SWE/macOS/BuildRoots/b8ff8433dc/Library/Caches/com.apple.xbs
/Sources/libressl/libressl-75/libressl-2.8/crypto/apple/hmac/hmac.c:188:
---
Certificate chain
 ...
---
No client certificate CA names sent
Server Temp Key: DH, 2048 bits
---
SSL handshake has read 4105 bytes and written 318 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : DHE-RSA-AES256-GCM-SHA384
    Session-ID: 1FA062DC9EEC9A310FF8231F1EB11A3BD6E0778F7AB6E98EAD1020A44CF1A407
    Session-ID-ctx:
    Master-Key:
    Start Time: 1635319904
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

我确实尝试将服务器的证书添加到自定义 pem 文件中并设置 http.sslCAInfo，但这不起作用。作为解决方法，我目前正在使用解密/重新加密 HTTPS 流量的代理。

如何配置 git（或所有 LibreSSL 用户）以接受服务器的证书？

Answer 1

设置此 ENV var（例如~/.zshrc）对我有用

export CURL_SSL_BACKEND="secure-transport"

Answer 2

不幸的是，我无法为您提供修复程序，但我找到了解决完全相同问题的解决方法（公司托管的 bitbucket 导致完全相同的错误）。我也不知道问题发生的确切原因，但我最好的猜测是 Monterey 附带的 libressl 库在特定 (?TLSv1.3) 证书方面存在某种问题。这个猜测是因为brew安装的openssl v1.1和v3在执行时不会抛出该错误/opt/homebrew/opt/openssl/bin/openssl s_client -connect ...:443

为了解决这个错误，我从针对不同 openssl 和curl 实现构建的源代码构建了 git：

1. install autoconf，openssl并curl使用brew（我想你可以选择你喜欢的openssl lib，即v1.1或v3，我选择v3）
2. 克隆你喜欢的 git 版本，即git clone --branch v2.33.1 https://github.com/git/git.git
3. cd git
4. make configure（这就是为什么需要autoconf）
5. 执行LDFLAGS="-L/opt/homebrew/opt/openssl@3/lib -L/opt/homebrew/opt/curl/lib" CPPFLAGS="-I/opt/homebrew/opt/openssl@3/include -I/opt/homebrew/opt/curl/include" ./configure --prefix=$HOME/git（这里 LDFLAGS 和 CPPFLAGS 包括 git 将构建的库，正确的标志由brew 在curl 和 openssl 安装成功时发出；--prefix 是 git 的安装目录，默认为/usr/local但可以更改）
6. make install
7. 确保将安装目录的子文件夹添加/bin到前面，$PATH以“覆盖”蒙特雷提供的默认 git
8. 重启终端
9. 检查git version显示新版本

现在这应该有所帮助，但正如我已经说过的，这只是一个解决方法，希望 Apple 尽快修复他们的 libressl 分支。