<div dir="ltr"><div><div><div><div>Hi <br><br></div>Thanks Bill for the explanation! But I am not sure I fully understood your answer: is the issue coming from openconnect, or from how the library guys did setup the certificate? What is weird is that it used to work for a while, and then not anymore. In the latter case, will asking the  #openconnect people help resolve the situation?<br></div><br></div>Thanks!!<br><br></div>Matthieu<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Dec 17, 2016 at 12:27 AM, Bill Broadley <span dir="ltr"><<a href="mailto:bill@broadley.org" target="_blank">bill@broadley.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
> I hit the same error yesterday. Bill said the Library broke it somehow.<br>
> The 'Official' Pulse client is working on Linux. And someone I chatted<br>
> with yesterday had an interested SSH port forwarding method of VPN, if<br>
> you have access to a server on campus.<br>
<br>
</span>The first time I tried it, I stopped by the openconnect irc channel and worked<br>
with (I think) the primary dev.  We tracked it down to a SSL problem, which I<br>
could even confirm with a browser.<br>
<br>
I reported that to the library, and they tweaked the SSL cert (it wasn't<br>
properly signed).<br>
<br>
I lobbied for them to support openconnect since it was compatible, a signed<br>
binary, 64 bit, and open source.  The pulse client seems like some orphaned<br>
juniper project that some 3rd party is trying to make some money off of.  They<br>
haven't even recompiled for 64 bit since.  What's worse is that the binary<br>
includes an old SSL library with known exploits, turns out that you need a<br>
fairly new openssl library which actually emulates the broken behavior, but<br>
doesn't allow the exploit.<br>
<br>
Kinda sad that campus is standardizing on an orphaned insecure unsigned binary<br>
for such a critical piece of security infrastructure.<br>
<br>
In any case the #openconnect folks were really helpful, if you want to try to<br>
get it working again I suggest trying there.<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
______________________________<wbr>_________________<br>
vox-tech mailing list<br>
<a href="mailto:vox-tech@lists.lugod.org">vox-tech@lists.lugod.org</a><br>
<a href="http://lists.lugod.org/mailman/listinfo/vox-tech" rel="noreferrer" target="_blank">http://lists.lugod.org/<wbr>mailman/listinfo/vox-tech</a><br>
</div></div></blockquote></div><br></div>