<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.apple-converted-space
        {mso-style-name:apple-converted-space;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal style='background:white'><span style='color:#222222'>I am in the process of upgrading our existing (SSL enabled) clusters (RabbitMQ 3.1.3 and Erlang R16B01) to the most recent versions (RabbitMQ 3.2.2 and Erlang R16B03) and I encountered an issue which may be a problem with the SSL/TLS implementation on the latest version of Erlang?<o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'> <o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'>We have the RabbitMQ Management webui load-balanced via F5 LTMs on Port 443 using Client/Server SSL profiles to terminate SSL at the appliance in order to use cookie persistence to a node.<o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'> <o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'>After updating our Dev cluster, traffic would no longer be sent to the nodes when traversing the LTMs. Digging into the logs, I found the following F5 error:<o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'> <o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'>                01260017 - Connection attempt to insecure SSL server (see RFC5746) aborted: XX.XX.XX.XX.:443.<o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'> <o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'>There is a workaround present in the F5 KB on the issue:<o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'> <o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'>                Note: If upgrading the back-end SSL server is not an option, you can set the Secure Renegotiation setting in the Server SSL profile to Request, which will allow the back-end SSL server to continue to renegotiate insecurely.<o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'> <o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'><a href="http://support.f5.com/kb/en-us/solutions/public/13000/800/sol13860" target="_blank"><span style='color:#1155CC'>http://support.f5.com/kb/en-us/solutions/public/13000/800/sol13860</span></a><o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'> <o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'>Hitting a node directly with Firefox, you can see the following error in the Error Console:<o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'> <o:p></o:p></span></p><p class=MsoNormal style='background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px'><span style='color:#222222'>                server does not support RFC 5746, see CVE-2009-3555<o:p></o:p></span></p><p class=MsoNormal style='background:white'><span style='color:#222222'><o:p> </o:p></span></p><p class=MsoNormal style='background:white'><span style='color:#222222'>Our current Test/Qual/Prod clusters on the previous version (3.1.3 and R16B01) all work without issue.<o:p></o:p></span></p><p class=MsoNormal style='background:white'><span style='color:#222222'><o:p> </o:p></span></p><p class=MsoNormal style='background:white'><span style='color:#222222'>Thoughts?<o:p></o:p></span></p><p class=MsoNormal style='background:white'><span style='color:#222222'><o:p> </o:p></span></p><p class=MsoNormal style='background:white'><span style='color:#222222'>Thanks<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Arial","sans-serif";color:#222222;background:white'>-- </span><span style='font-size:12.0pt;font-family:"Arial","sans-serif";color:#222222'><br></span><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#222222'>Jared</span></b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#222222'><o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>