LINUX.ORG.RU
ФорумAdmin

Let's Encrypt SSL - ошибка SSL_ERROR_RX_RECORD_TOO_LONG

 ,


0

1

Недавно успешно сгенерировал SSL сертификат от Let’s Encrypt и он нормально работает с SMTP/IMAP, но когда в браузере открывается страница - появляется ошибка:

SSL получило запись, длина которой превышает максимально допустимую. (Код ошибки: SSL_ERROR_RX_RECORD_TOO_LONG) 

при этом при выполнении:

# openssl x509 -text -in cert.pem 

есть такие строки:

            X509v3 Basic Constraints: critical
                CA:FALSE

и

#  openssl verify fullchain.pem
CN = mail.mydomain.tk
error 20 at 0 depth lookup: unable to get local issuer certificate
error fullchain.pem: verification failed
Ответ на: комментарий от zorinquen

А у тебя апач + nginx, или просто апач? Я сталкивался с подобными ошибками, когда пытался делать прозрачный прокси на squid, возможно у reverse-proxy бывают похожие проблемы.

Khnazile ★★★★★
()
Ответ на: комментарий от Harald

Можно ещё openssl s_client -ом попробовать подключиться локально на сервере и с того компа, где в браузере ошибка, и сравнить результаты. Вдруг какой-нибудь DPI провайдера портит пакеты.

Harald ★★★★★
()
Ответ на: комментарий от Harald

локально показывает сертификат:

# openssl s_client -connect mail.domain.tk:443 -showcerts
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = mail.domain.tk
verify return:1
---
Certificate chain
 0 s:CN = mail.domain.tk
   i:C = US, O = Let's Encrypt, CN = R3
-----BEGIN CERTIFICATE-----
..............................................

а удаленно нет:

% openssl s_client -connect mail.domain.tk:443 -showcerts
CONNECTED(00000003)
139676268536960:error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:332:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 311 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---

zorinquen
() автор топика
Ответ на: комментарий от zorinquen

ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:332:

а какая у тебя версия протокола, SSL2 и 3 как бе небезопасны, устарели, и рекомендованный минимум сегодня TLS1.2

Harald ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.