WIn x/IE11 a Apache HTTPS server

Pavel Just Pavel.Just na simac.cz
Pondělí Duben 3 20:34:45 CEST 2017 


Petr Pisar píše v Po 03. 04. 2017 v 17:15 +0000:
> On 2017-04-03, Pavel Just <Pavel.Just na simac.cz> wrote:
> > Mám webový (https) server ve verzích
> >
> > httpd-2.2.15-47.el6.centos.x86_64
> > mod_ssl-2.2.15-47.el6.centos.x86_64
> > openssl-1.0.1e-42.el6.x86_64
> >
> > Od nedávné doby se někteří uživatelé
> > Win X systémů nemohou připojit.
> >
> > Chybová hláška zní:
> > S partnerem protokolu SSL se nepodařilo domluvit akceptovatelnou množinu
> > bezpečnostních parametrů. Kód chyby: SSL_ERROR_HANDSHAKE_FAILURE_ALERT
> >
> > V čem může být problém? Díky za nakopnutí.
> >
> Chyba je v tom, že webový klient a webový server nepodporoují žádnou
> společnou šifru nebo protokol. Bohužel TLS protokol je v tomto směru
> skoupý na podrobnosti a výrobci webových prohlížečů nechtějí děsit
> uživatele technickými podrobnostmi.
> 
> Doporučuji podrobit selhávající provoz TLS parseru, který vám ukáže,
> přesně které šifry vykazuje klient nebo server a které strana odmítne
> pokračovat. Například ssltap, wireshark, ssldump.
Použil jsem tcpdump. Na nějakém šiforvacím algoritmu se vždy shodnou.
Dokonce jsem jeho výběr dokázal pomocí " SSL Cipher Suite Order"
ovlivnit. Například se mi shodli na
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (server to potvrdil v "Server
hello" packetu, pak se vyměnily certifikáty, pak klient poslal jeden
packet kategorie "aplikační data" a na ně server odpověděl
Handshake Failure (40) a nejsem schopen zjistit, proč. Na serveru 
v logách nic není. Zvláštní je, že stará okna nedělají.
> 
> Nicméně někdo vás tahá za fusekli, protože citovaná hláška není z IE,
> ale z Firefoxu.
Máte pravdu. Je z firefoxu, ale hláška z IE je ještě více matoucí.
> 
> Předpokládám, že Firefox vypnul podporu pro TLS 1.0, ale váš server nemá
> zapnuté TLS 1.1 nebo TLS 1.2. Nebo server má příliš krátký veřejný klíč
> nebo používá slabou hashovací funkci (MD5, SHA1).
> 
> -- Petr
> 

Pavel
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux

Další informace o konferenci Linux