Как устранить исключение Npgsql: «неверная версия протокола» во время установления связи SSL в macOS с .NET 6 и Let's En

Как устранить исключение Npgsql: «неверная версия протокола» во время установления связи SSL в macOS с .NET 6 и Let's En ⇐ C#

1 сообщение • Страница 1 из 1

Anonymous

Как устранить исключение Npgsql: «неверная версия протокола» во время установления связи SSL в macOS с .NET 6 и Let's En

Цитата

Сообщение Anonymous » 04 фев 2026, 19:17

Я пытаюсь подключиться к базе данных PostgreSQL 17.5 с моего Mac с помощью .NET 6. Соединение отлично работает с модулями Linux в Kubernetes, но на моем Mac я получаю следующую ошибку:

Npgsql.NpgsqlException (0x80004005): Исключение при выполнении SSL-квитирования ---> Interop+AppleCrypto+SslException: неверная версия протокола.

Этот сертификат является действительным сертификатом Let's Encrypt RSA 2048. Почему это не работает только в macOS?

Основная причина: «идеальный шторм» TLS 1.3 и macOS

Ошибка на самом деле не связана с «плохой версией» протокола. Это ошибка фрагментации рукопожатия, связанная с тем, как .NET 6 взаимодействует с библиотекой Apple SecureTransport (AppleCrypto).

Обновление STARTTLS: В отличие от HTTPS (который представляет собой SSL с байта 0), Postgres запускается в виде обычного текста и «обновляется» до SSL.
"Толстый" сертификат: Ваша цепочка сертификатов Let's Encrypt RSA большая. В TLS 1.3 сервер отправляет сертификат вместе с «Зашифрованными расширениями».
Фрагментация: Поскольку цепочка RSA большая, ответ сервера разбивается на несколько TCP-пакетов (фрагментированных).
Ошибка macOS: Linux использует OpenSSL, который безупречно справляется с этой фрагментацией. Однако AppleCrypto в macOS (используется .NET 6) неверно интерпретирует вторую половину фрагментированного пакета TLS 1.3 STARTTLS как новую недопустимую запись. Он паникует и выдает неверную версию протокола.

Что я сделал (исправление DevOps)

Поскольку я не мог изменить клиентский код, я исправил его на уровне инфраструктуры с помощью CloudNativePG (CNPG).
Я заставил сервер PostgreSQL ограничить максимальный протокол на уровне TLS 1.2. При этом обходит ошибочный конечный автомат TLS 1.3 в macOS и используется более старый, более стабильный путь подтверждения TLS 1.2, который правильно обрабатывает фрагментацию RSA.
Исправление в postgresql.conf (или CNPG YAML):
YAML

Код: Выделить всё

postgresql:
parameters:
ssl_min_protocol_version: "TLSv1.2"
ssl_max_protocol_version: "TLSv1.2"

Почему это работает:

TLS 1.2 использует другую структуру пакетов, которую macOS .NET 6 понимает даже при фрагментации.
Соединение остается зашифрованным и безопасным, но позволяет избежать «передовых» ошибок TLS 1.3, обнаруженных в более старых версиях Реализации .NET/macOS.

Подробнее здесь: https://stackoverflow.com/questions/798 ... ndshake-on

1770221865

Anonymous

Я пытаюсь подключиться к базе данных PostgreSQL 17.5 с моего Mac с помощью .NET 6. Соединение отлично работает с модулями Linux в Kubernetes, но на моем Mac я получаю следующую ошибку:

Npgsql.NpgsqlException (0x80004005): Исключение при выполнении SSL-квитирования ---> Interop+AppleCrypto+SslException: неверная версия протокола.

Этот сертификат является действительным сертификатом Let's Encrypt RSA 2048. Почему это не работает только в macOS?
[h4][b]Основная причина: «идеальный шторм» TLS 1.3 и macOS[/b][/h4]
Ошибка на самом деле не связана с «плохой версией» протокола. Это [b]ошибка фрагментации рукопожатия[/b], связанная с тем, как [b].NET 6[/b] взаимодействует с [b]библиотекой Apple SecureTransport (AppleCrypto)[/b].
[list]
[*][b]Обновление STARTTLS:[/b] В отличие от HTTPS (который представляет собой SSL с байта 0), Postgres запускается в виде обычного текста и «обновляется» до SSL.

[*][b]"Толстый" сертификат:[/b] Ваша цепочка сертификатов Let's Encrypt RSA большая. В [b]TLS 1.3[/b] сервер отправляет сертификат вместе с «Зашифрованными расширениями».

[*][b]Фрагментация:[/b] Поскольку цепочка RSA большая, ответ сервера разбивается на несколько TCP-пакетов (фрагментированных).

[*][b]Ошибка macOS:[/b] Linux использует OpenSSL, который безупречно справляется с этой фрагментацией. Однако [b]AppleCrypto[/b] в macOS (используется .NET 6) неверно интерпретирует вторую половину фрагментированного пакета TLS 1.3 STARTTLS как новую недопустимую запись. Он паникует и выдает неверную версию протокола.

[/list]
[h4][b]Что я сделал (исправление DevOps)[/b][/h4]
Поскольку я не мог изменить клиентский код, я исправил его на [b]уровне инфраструктуры[/b] с помощью CloudNativePG (CNPG).
Я заставил сервер PostgreSQL ограничить максимальный протокол на уровне [b]TLS 1.2[/b]. При этом обходит ошибочный конечный автомат TLS 1.3 в macOS и используется более старый, более стабильный путь подтверждения TLS 1.2, который правильно обрабатывает фрагментацию RSA.
[b]Исправление в postgresql.conf (или CNPG YAML):[/b]
YAML
[code]postgresql:
parameters:
ssl_min_protocol_version: "TLSv1.2"
ssl_max_protocol_version: "TLSv1.2"
[/code]
[h4][b]Почему это работает:[/b][/h4]
[list]
[*][b]TLS 1.2[/b] использует другую структуру пакетов, которую macOS .NET 6 понимает даже при фрагментации.

[*]Соединение остается зашифрованным и безопасным, но позволяет избежать «передовых» ошибок TLS 1.3, обнаруженных в более старых версиях Реализации .NET/macOS.

[/list] 

Подробнее здесь: [url]https://stackoverflow.com/questions/79878976/how-to-resolve-npgsql-exception-bad-protocol-version-during-ssl-handshake-on[/url]