LINUX.ORG.RU

https

 


1

1

Есть пара интересующих вопросов. 1. Можно ли на ssl.com фришный сертификат продлить еще на 90 дней и тд.? 2. В логах апача (Apache/1.3.41) Периодичесли наблюдаю следующее:

[Wed Jan  8 01:16:55 2014] [error] mod_ssl: SSL handshake failed (server hbars.aa.am:443, client 37.155.3.164) (OpenSSL library error follows)
[Wed Jan  8 01:16:55 2014] [error] OpenSSL: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
Причем сам на него ходил со всего чего было под рукой (ff, ie, rekonq, с планшетов и т.п.) и http://netrenderer.com показывает нормально.
s135-router.geotek.de - - [08/Jan/2014:02:49:22 +0300] TLSv1 AES128-SHA "GET /counter/counter.gif HTTP/1.1" 200 610 "https://hbars.aa.am/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)"
s135-router.geotek.de - - [08/Jan/2014:02:49:22 +0300] TLSv1 AES128-SHA "GET /css/custom.css
HTTP/1.1" 200 3176 "https://hbars.aa.am/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)"
В апаче уже прописал
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW:-SSLv2
Можно игнорировать? mod_ssl 2.8.31

★★★★★

А попробуй сам к серверу подключиться с клиента, умеющего только SSL2. Как сервер в этом случае в логи ругается?
Или просто openssl s_client -connect hbars.aa.am:443 -ssl2

thesis ★★★★★ ()
Ответ на: комментарий от thesis

Вот что.

openssl s_client -connect hbars.aa.am:443 -ssl3
CONNECTED(00000003)
depth=2 /C=SE/O=AddTrust AB/OU=AddTrust External TTP 
Все ок.
openssl s_client -connect hbars.aa.am:443 -ssl2
CONNECTED(00000003)
write:errno=104
Не ок. С linux.org.ru то же самое. С ssl3 все нормально.
openssl s_client -connect linux.org.ru:443 -ssl2
CONNECTED(00000003)
16121:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:427:
openssl кривой, или что?

hbars ★★★★★ ()
Ответ на: комментарий от hbars

Я имел в виду, глянь, что при этом в логах апача. Вполне может быть, что там как раз и есть сабжевая «SSL3_GET_RECORD:wrong version number».

openssl кривой, или что?

Почему кривой? Послушный. Ты сам ему явно запретил всё, кроме SSL3 и TLS1.

thesis ★★★★★ ()

1. Заплати и продлишь. Вообще, чем startssl не нравится? Нужен wildcard?

2. https://www.ssllabs.com/ssltest/ прогони, оно в красках распишет, что у тебя с ssl, как соединятся разные браузеры и в сторону каких проблем копать.

x3al ★★★★★ ()
Ответ на: комментарий от thesis

Почему кривой? Послушный. Ты сам ему явно запретил всё, кроме SSL3 и TLS1.

Ато. :) Просто версия ssl с которым апач собирался и знать ни о чем кроме tls1,ssl2,ssl3 не знал.
Сегодня пересобрал распоследний openssl-1.0.1f, подправил mod_ssl чтоб с ним собирался. Пересобрал всю кучу и теперь то что вижу на https://www.ssllabs.com/ssltest/ радует глаз.

hbars ★★★★★ ()
Ответ на: комментарий от x3al

Заплати и продлишь. Вообще, чем startssl не нравится? Нужен wildcard?

Это понятно. Зачем мне для дома. Нужно по другим причинам. На startssl можно продлять? wildcard не нужен.

https://www.ssllabs.com/ssltest/ прогони, оно в красках распишет, что у тебя с ssl, как соединятся разные браузеры и в сторону каких проблем копать.

А вот за это спасибо. Очень помогло.

hbars ★★★★★ ()
Ответ на: комментарий от hbars

Дык а выяснил ли, это именно попытка подключиться с использованием SSL2 вела к упомянутой ошибке в логах, или дело было не в ней?

thesis ★★★★★ ()
Ответ на: комментарий от thesis

Локально воспроизвести не получается. А в логах пока не видно.
Время покажет.

hbars ★★★★★ ()
Ответ на: комментарий от hbars

На startssl можно продлять?

Продления по-моему нигде не бывает. Просто выписывают новый сертификат с учетом оставшегося срока.

startssl просто не распиарен, а вообще там полный набор сервисов, но цены на порядок ниже чем везде.

Vit ★★★★★ ()
Ответ на: комментарий от hbars

startssl даёт бесплатный сертификат на 1 поддомен (например, http://www.yourdomain.tld) + домен (yourdomain.tld), обновляется раз в год. ssl.com — trial на месяц.

x3al ★★★★★ ()

Можно ли на ssl.com фришный сертификат продлить еще на 90 дней и тд.?

да, AFAIK. А там что, faq закрыли?

emulek ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.