WIn x/IE11 a Apache HTTPS server
Petr Pisar
petr.pisar na atlas.cz
Pondělí Duben 3 19:15:01 CEST 2017
On 2017-04-03, Pavel Just <Pavel.Just na simac.cz> wrote:
> Mám webový (https) server ve verzích
>
> httpd-2.2.15-47.el6.centos.x86_64
> mod_ssl-2.2.15-47.el6.centos.x86_64
> openssl-1.0.1e-42.el6.x86_64
>
> Od nedávné doby se někteří uživatelé
> Win X systémů nemohou připojit.
>
> Chybová hláška zní:
> S partnerem protokolu SSL se nepodařilo domluvit akceptovatelnou množinu
> bezpečnostních parametrů. Kód chyby: SSL_ERROR_HANDSHAKE_FAILURE_ALERT
>
> V čem může být problém? Díky za nakopnutí.
>
Chyba je v tom, že webový klient a webový server nepodporoují žádnou
společnou šifru nebo protokol. Bohužel TLS protokol je v tomto směru
skoupý na podrobnosti a výrobci webových prohlížečů nechtějí děsit
uživatele technickými podrobnostmi.
Doporučuji podrobit selhávající provoz TLS parseru, který vám ukáže,
přesně které šifry vykazuje klient nebo server a které strana odmítne
pokračovat. Například ssltap, wireshark, ssldump.
Nicméně někdo vás tahá za fusekli, protože citovaná hláška není z IE,
ale z Firefoxu.
Předpokládám, že Firefox vypnul podporu pro TLS 1.0, ale váš server nemá
zapnuté TLS 1.1 nebo TLS 1.2. Nebo server má příliš krátký veřejný klíč
nebo používá slabou hashovací funkci (MD5, SHA1).
-- Petr
Další informace o konferenci Linux