Welcome! Log In Create A New Profile

Re: Bug: SSL ssl_protocols order

Forum List Message List New Topic Print View

Igor Sysoev

October 20, 2009 08:30AM

Admin
Registered: 15 years ago
Posts: 4,579

On Tue, Oct 20, 2009 at 12:41:18AM +0400, Alex Eagle wrote:

> 2009/10/19 Igor Sysoev <is@rambler-co.ru>:
> > Сейчас попробовал
> > server_name B;
> > ssl_protocols SSLv2 SSLv3 TLSv1;
> > ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>
> > server_name A;
> > ssl_protocols SSLv3 TLSv1;
> > ssl_ciphers
> > DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256- SHA:DES-CBC3-S
> > HA:AES128-SHA:RC4-SHA:RC4-MD5;
>
> Не может быть связано с тем что у меня через include из разных файлов?

Нет.

> > Сервер А работает без ошибок (за исключением ругани на сертификаты),
> > протоколы соединения такие:
> >
> > MacOSX:
> > FF 3.0.14 SSLv3 DHE-RSA-CAMELLIA256-SHA
> > Opera/9.52 TLSv1 DHE-RSA-AES256-SHA
> > Chrome/4.0.222.5 TLSv1 AES128-SHA
> > Safari 4.0.3 TLSv1 AES128-SHA
> >
> > Windows 2003:
> > MSIE 6.0 SV1 SSLv3 RC4-MD5
>
> Да, ситуация интересна тем что на одних Win32 оно работало, на других
> нет. Установить закономерность пока не удалось. Но там где не работало
> (правда только одна машина проверена, вторую завтра) там вылечилось
> SSLv2 - вкл. Где работало - удавалось добиться ошибки не помню как, но
> аналогичные манипуляции с галками в IE.
> Я могу воспроизвести ситуацию и дать доступ IP который назовешь.

Для этого нужны разные браузеры, которых у меня нет.
Что может помочь, так это отладочный лог такого запроса.

> > В MSIE включался и выключался SSLv2.
> > В FF и Opera SSLv2 не как класса,
> > В Safari я вообще не нашёл настройку протоколов.
>
> Завтра с ним попробую.
>
> > В Chrome выбор протоколов задизэйблин.
>
> Четвертая вкладка, внизу, галка что-то про "SSLv2", у меня включалось.

В маковском хроме про протоколы ничего нет вообще. А настройка
сертификатов задизэйблина.

> >> Ну и было бы неплохо писать в лог о ситуации с IP.
> > Что именно ?
>
> Про совпадение IP, хоть какую-нибудь строчку для зацепки.

Это сложно сделать, так как в принципе такая схема работоспособна
при использовании wildcards и альтернативных имён. И ещё практика
показывает, что люди, которые не знают про проблему name-based
HTTPS hosts, в лог не смотрят.

--
Игорь Сысоев
http://sysoev.ru

Reply Quote

RSS

Subject	Author	Posted
Bug: SSL ssl_protocols order	Alex Eagle	October 19, 2009 02:16PM
Re: Bug: SSL ssl_protocols order	Igor Sysoev	October 19, 2009 02:28PM
Re: Bug: SSL ssl_protocols order	Alex Eagle	October 19, 2009 02:42PM
Re: Bug: SSL ssl_protocols order	Igor Sysoev	October 19, 2009 04:04PM
Re: Bug: SSL ssl_protocols order	Alex Eagle	October 19, 2009 04:46PM
Re: Bug: SSL ssl_protocols order	Igor Sysoev	October 20, 2009 08:30AM
Re: Bug: SSL ssl_protocols order	Alex Eagle	October 20, 2009 09:38AM
Re: Bug: SSL ssl_protocols order	Alex Eagle	October 19, 2009 02:42PM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 170

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018