WIn x/IE11 a Apache HTTPS server

[Jan Hrach]

Taky je dobré nmap -p 443 --script ssl-enum-ciphers a https://www.ssllabs.com/ssltest/. Nastavení potom viz https://cipherli.st/.

On 3.4.2017 19:15, Petr Pisar wrote:
> On 2017-04-03, Pavel Just <Pavel.Just na simac.cz> wrote:
>> Mám webový (https) server ve verzích
>>
>> httpd-2.2.15-47.el6.centos.x86_64
>> mod_ssl-2.2.15-47.el6.centos.x86_64
>> openssl-1.0.1e-42.el6.x86_64
>>
>> Od nedávné doby se někteří uživatelé
>> Win X systémů nemohou připojit.
>>
>> Chybová hláška zní:
>> S partnerem protokolu SSL se nepodařilo domluvit akceptovatelnou množinu
>> bezpečnostních parametrů. Kód chyby: SSL_ERROR_HANDSHAKE_FAILURE_ALERT
>>
>> V čem může být problém? Díky za nakopnutí.
>>
> Chyba je v tom, že webový klient a webový server nepodporoují žádnou
> společnou šifru nebo protokol. Bohužel TLS protokol je v tomto směru
> skoupý na podrobnosti a výrobci webových prohlížečů nechtějí děsit
> uživatele technickými podrobnostmi.
> 
> Doporučuji podrobit selhávající provoz TLS parseru, který vám ukáže,
> přesně které šifry vykazuje klient nebo server a které strana odmítne
> pokračovat. Například ssltap, wireshark, ssldump.
> 
> Nicméně někdo vás tahá za fusekli, protože citovaná hláška není z IE,
> ale z Firefoxu.
> 
> Předpokládám, že Firefox vypnul podporu pro TLS 1.0, ale váš server nemá
> zapnuté TLS 1.1 nebo TLS 1.2. Nebo server má příliš krátký veřejný klíč
> nebo používá slabou hashovací funkci (MD5, SHA1).
> 
> -- Petr
> 
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
> 

-- 
Jan Hrach | https://jenda.hrach.eu/
GPG CD98 5440 4372 0C6D 164D A24D F019 2F8E 6527 282E