înregistrare Logare
Puncte:0
avatar Server

Nu se poate conecta la un site prin HTTPS (SSL_ERROR_SYSCALL)

drapel cn
x-yuri

Am un server care rulează Debian 8. Da, unul destul de vechi. Dar e ceva cu adevărat ciudat în asta. Nu mă pot conecta la el prin HTTPS:

$ curl -sSLv https://example.com
* Încerc xx.yyy.xx.yyy:443...
* Conectat la portul 443 example.com (xx.yyy.xx.yyy) (#0)
* ALPN, oferind h2
* ALPN, oferind http/1.1
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: niciunul
} [5 octeți de date]
* TLSv1.3 (OUT), strângere de mână TLS, salut client (1):
} [date de 512 octeți]
* OpenSSL SSL_connect: SSL_ERROR_SYSCALL în conexiune cu example.com:443 
* Închiderea conexiunii 0
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL în conexiune cu example.com:443 

$ sslscan example.com
Versiunea: 2.0.11
OpenSSL 1.1.1m 14 decembrie 2021

Conectat la xx.yyy.xx.yyy

Testarea serverului SSL example.com pe portul 443 folosind numele SNI example.com

  Protocoale SSL/TLS:
SSLv2 dezactivat
SSLv3 dezactivat
TLSv1.0 dezactivat
TLSv1.1 dezactivat
TLSv1.2 dezactivat
TLSv1.3 dezactivat

  SCSV de rezervă TLS:
Conexiunea a eșuat - nu se poate determina compatibilitatea SCSV TLS Fallback

  Renegociere TLS:
Renegocierea sesiunii nu este acceptată

  Compresie TLS:
Versiunea OpenSSL nu acceptă compresia
Reconstruiți cu pachetul zlib1g-dev pentru suport zlib

  Heartbleed:

  Cifre de server acceptate:
Informațiile despre certificat nu pot fi preluate.

$ dpkg -l | grep openssl
ii openssl 1.0.1t-1+deb8u12 amd64 Secure Sockets Layer toolkit - utilitar criptografic

$ cat /etc/nginx/nginx.conf | grep ssl
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Eliminarea SSLv3, ref: POODLE
    ssl_prefer_server_ciphers activat;

$ dpkg -l | grep nginx
ii nginx 1.6.2-5 tot un server web/proxy mic, puternic, scalabil
ii nginx-common 1.6.2-5 tot mic, puternic, scalabil web/server proxy - fișiere comune
ii nginx-full 1.6.2-5 amd64 server web/proxy nginx (versiunea standard)

Pentru a-l compara cu un alt server Debian 8:

$ sslscan example2.com
Versiunea: 2.0.11
OpenSSL 1.1.1m 14 decembrie 2021

Conectat la xx.xxx.xx.xxx

Testarea serverului SSL example2.com pe portul 443 folosind numele SNI example2.com

  Protocoale SSL/TLS:
SSLv2 dezactivat
SSLv3 dezactivat
TLSv1.0 activat
TLSv1.1 activat
TLSv1.2 activat
TLSv1.3 dezactivat

  SCSV de rezervă TLS:
Serverul acceptă TLS Fallback SCSV

  Renegociere TLS:
Renegociere securizată a sesiunii acceptată

  Compresie TLS:
Versiunea OpenSSL nu acceptă compresia
Reconstruiți cu pachetul zlib1g-dev pentru suport zlib

  Heartbleed:
TLSv1.2 nu este vulnerabil la sângerarea inimii
TLSv1.1 nu este vulnerabil la sângerarea inimii
TLSv1.0 nu este vulnerabil la sângerarea inimii

  Cifre de server acceptate:
TLSv1.2 preferat 256 de biți ECDHE-RSA-AES256-GCM-SHA384 Curba P-256 DHE 256
Acceptat TLSv1.2 256 biți ECDHE-RSA-AES256-SHA384 Curba P-256 DHE 256
Acceptat TLSv1.2 256 biți ECDHE-RSA-AES256-SHA Curba P-256 DHE 256
Acceptat TLSv1.2 256 biți DHE-RSA-AES256-GCM-SHA384 DHE 1024 biți
Acceptat TLSv1.2 256 biți DHE-RSA-AES256-SHA256 DHE 1024 biți
Acceptat TLSv1.2 256 biți DHE-RSA-AES256-SHA DHE 1024 biți
Acceptat TLSv1.2 256 biți DHE-RSA-CAMELLIA256-SHA DHE 1024 biți
Acceptat TLSv1.2 256 de biți AES256-GCM-SHA384            
Acceptat TLSv1.2 256 biți AES256-SHA256                
Acceptat TLSv1.2 256 de biți AES256-SHA                   
Acceptat TLSv1.2 256 biți CAMELLIA256-SHA              
Acceptat TLSv1.2 128 de biți ECDHE-RSA-AES128-GCM-SHA256 Curba P-256 DHE 256
Acceptat TLSv1.2 128 biți ECDHE-RSA-AES128-SHA256 Curba P-256 DHE 256
Acceptat TLSv1.2 128 biți ECDHE-RSA-AES128-SHA Curba P-256 DHE 256
Acceptat TLSv1.2 128 de biți DHE-RSA-AES128-GCM-SHA256 DHE 1024 de biți
Acceptat TLSv1.2 128 de biți DHE-RSA-AES128-SHA256 DHE 1024 de biți
Acceptat TLSv1.2 128 de biți DHE-RSA-AES128-SHA DHE 1024 de biți
Acceptat TLSv1.2 128 biți DHE-RSA-CAMELLIA128-SHA DHE 1024 biți
Acceptat TLSv1.2 128 de biți AES128-GCM-SHA256            
Acceptat TLSv1.2 128 de biți AES128-SHA256                
Acceptat TLSv1.2 128 de biți AES128-SHA                   
Acceptat TLSv1.2 128 biți CAMELLIA128-SHA              
TLSv1.1 preferat 256 biți ECDHE-RSA-AES256-SHA Curba P-256 DHE 256
Acceptat TLSv1.1 256 biți DHE-RSA-AES256-SHA DHE 1024 biți
Acceptat TLSv1.1 256 biți DHE-RSA-CAMELLIA256-SHA DHE 1024 biți
Acceptat TLSv1.1 256 de biți AES256-SHA                   
Acceptat TLSv1.1 256 biți CAMELLIA256-SHA              
Acceptat TLSv1.1 128 biți ECDHE-RSA-AES128-SHA Curba P-256 DHE 256
Acceptat TLSv1.1 128 de biți DHE-RSA-AES128-SHA DHE 1024 de biți
Acceptat TLSv1.1 128 biți DHE-RSA-CAMELLIA128-SHA DHE 1024 biți
Acceptat TLSv1.1 128 de biți AES128-SHA                   
Acceptat TLSv1.1 128 biți CAMELLIA128-SHA              
TLSv1.0 preferat 256 biți ECDHE-RSA-AES256-SHA Curba P-256 DHE 256
Acceptat TLSv1.0 256 biți DHE-RSA-AES256-SHA DHE 1024 biți
Acceptat TLSv1.0 256 biți DHE-RSA-CAMELLIA256-SHA DHE 1024 biți
Acceptat TLSv1.0 256 de biți AES256-SHA                   
Acceptat TLSv1.0 256 biți CAMELLIA256-SHA              
Acceptat TLSv1.0 128 biți ECDHE-RSA-AES128-SHA Curba P-256 DHE 256
Acceptat TLSv1.0 128 biți DHE-RSA-AES128-SHA DHE 1024 biți
Acceptat TLSv1.0 128 biți DHE-RSA-CAMELLIA128-SHA DHE 1024 biți
Acceptat TLSv1.0 128 biți AES128-SHA                   
Acceptat TLSv1.0 128 biți CAMELLIA128-SHA              

  Grupuri de schimb de chei de server:
TLSv1.2 128 de biți secp256r1 (NIST P-256)

  Certificat SSL:
Algoritm de semnătură: sha256WithRSAEncryption
Puterea cheii RSA: 4096

Subiect: example2.com
Nume alternative: DNS:example2.com
Emitent: R3

Nu este valabil înainte de: 17 decembrie 21:00:13 2021 GMT
Nu este valabil după: 17 martie 21:00:12 2022 GMT

$ dpkg -l | grep openssl
ii openssl 1.0.1k-3+deb8u2 amd64 Secure Sockets Layer toolkit - utilitar criptografic

$ cat /etc/nginx/nginx.conf | grep ssl
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Eliminarea SSLv3, ref: POODLE
    ssl_prefer_server_ciphers activat;

$ dpkg -l | grep nginx
ii nginx 1.6.2-5 tot un server web/proxy mic, puternic, scalabil
ii nginx-common 1.6.2-5 tot mic, puternic, scalabil web/server proxy - fișiere comune
ii nginx-full 1.6.2-5 amd64 server web/proxy nginx (versiunea standard)

Ce este în neregulă cu primul server? Cum fac ca https să funcționeze?

2030
0 + 0
drapel cn
Bob
La prima vedere, afișați doar observații externe, dar omiteți să arătați cum ar trebui să fie configurat serverul.
2
Răspunde
Paul avatar
drapel cn
Paul
Vă rugăm să postați configurația dvs. completă nginx.
0
Răspunde
drapel cn
x-yuri
@Paul https://gist.github.com/x-yuri/3c3a58bdd6d52b6816192eda6c6c9c91 Nimic neobișnuit la prima vedere. Și nu sunt sigur că problema este cu `nginx`.
0
Răspunde
drapel cn
x-yuri
@Bob Nu sunt sigur că problema este cu `nginx`, dar vezi linkul de mai sus.
0
Răspunde
Puncte:2
avatar Server
drapel cn
x-yuri

Unul dintre servere (în ceea ce privește nginx) a avut asculta 443 ssl, dar nu ssl_* directive. În astfel de circumstanțe, obțineți simptomele descrise în întrebare. Adică, o problemă cu un server (gazdă virtuală) îl afecta pe celălalt (restul).

În jurnalul de erori al serverului defect, veți vedea:

2022/01/12 02:44:46 [eroare] 445#0: *23 nu este definit niciun „certificat_ssl” în serverul care ascultă pe portul SSL în timpul acordării de mână SSL, client: xx.xxx.xx.xxx, server: 0.0.0.0 :443

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.