WIn x/IE11 a Apache HTTPS server

Tomáš Koželuh mr.death na ipq.cz
Středa Duben 5 11:15:05 CEST 2017 

Nepomohl by nějaký z těchto parametrů pro vhost? Mám to nastaveno od heartbleedu a s IE to problémy nemá:
    SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
    SSLProtocol All -SSLv2 -SSLv3
    SSLHonorCipherOrder on
    SSLCompression off
    SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDH
E-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-R
SA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA2
56:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

Dneska by s tím asi šlo ještě víc přitvrdit, předpokládám a případně nějakou restrikci naopak vyhodit.

> -----Original Message-----
> From: linux-bounces na linux.cz [mailto:linux-bounces na linux.cz] On Behalf Of
> Petr Pisar
> Sent: Tuesday, April 04, 2017 7:51 PM
> To: linux na linux.cz
> Subject: Re: WIn x/IE11 a Apache HTTPS server
> 
> On 2017-04-03, Pavel Just <Pavel.Just na simac.cz> wrote:
> > Použil jsem tcpdump. Na nějakém šiforvacím algoritmu se vždy shodnou.
> > Dokonce jsem jeho výběr dokázal pomocí " SSL Cipher Suite Order"
> > ovlivnit. Například se mi shodli na
> > TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (server to potvrdil v
> "Server
> > hello" packetu, pak se vyměnily certifikáty, pak klient poslal jeden
> > packet kategorie "aplikační data" a na ně server odpověděl
> > Handshake Failure (40) a nejsem schopen zjistit, proč. Na serveru
> > v logách nic není.
> 
> Budete si muset pořídit lepší parser. TLS příliš neznám, ale mohly by to
> být nekompatibilní parametry eliptických křivek. Ty se přenášejí jako
> rozšíření.
> 
> Jestli dokážete problém zreprodukovat, tak ho můžete zkusit nasimulovat
> s čistým OpenSSL (openssl s_server). Tam se dostenete lépe
> k podrobnostem.
> 
> > Zvláštní je, že stará okna nedělají.
> 
> Firefox na Windows používá vlastní bundlovanou verzi NSS. Takže na
> Windows bych to nesvaloval.
> 
> -- Petr
> 
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux

Další informace o konferenci Linux