LINUX.ORG.RU
ФорумAdmin

Сервер не поддерживает безопасное пересогласование TLS


0

1

Имеется сервер с debian squeeze на борту, со свежими обновлениями, стоит апач 2.2.16-6+squeeze3. При открытии сайта по https опера ругается: Сервер не поддерживает безопасное пересогласование TLS. Владельцу сайта желательно обновить сервер. Судя вот по этому: http://lists.debian.org/debian-security-announce/2011/msg00003.html апач начиная с 2.2.15-1 должен быть собран с правильной ssl-либой и этого косяка быть не должно. Однако ж вот... Как лечить, подскажите пожалуйста.

Версии установленных пакетов: openssl 0.9.8o-4squeeze2 apache2 2.2.16-6+squeeze3

ldd /usr/lib/apache2/modules/mod_ssl.so libssl.so.0.9.8 => /usr/lib/i686/cmov/libssl.so.0.9.8 (0xb7849000)

dpkg -S /usr/lib/i686/cmov/libssl.so.0.9.8 libssl0.9.8: /usr/lib/i686/cmov/libssl.so.0.9.8

dpkg -l libssl0.9.8 libssl0.9.8 0.9.8o-4squeeze2

То есть апач собран с правильной либой, должно все работать... Что не так?



Последнее исправление: infinity (всего исправлений: 1)
[негодуэ][d-link]DWA-525 после перезагрузки не работает.
tbz2 обязательно распаковывать, чтобы примонтировать readonly ?
Ответ на: комментарий от leave

Извините, ссылку поправила =)

cat /etc/apache2/mods-enabled/ssl.conf

<IfModule mod_ssl.c>
SSLRandomSeed startup builtin
SSLRandomSeed startup file:/dev/urandom 512
SSLRandomSeed connect builtin
SSLRandomSeed connect file:/dev/urandom 512

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl

SSLPassPhraseDialog  builtin

SSLSessionCache        shmcb:${APACHE_RUN_DIR}/ssl_scache(512000)
SSLSessionCacheTimeout  300

SSLMutex  file:${APACHE_RUN_DIR}/ssl_mutex

SSLCipherSuite HIGH:MEDIUM:!ADH

ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

SSLProtocol all -SSLv2

</IfModule>
infinity
() автор топика
Ответ на: комментарий от infinity

А если вписать SSLInsecureRenegotiation off? Просто так, для очистки совести, потому что конфиг, насколько я вижу, дефолтный.

SSLVerifyClient нигде в других конфигах не завалялась?

leave ★★★★★
()
Ответ на: комментарий от leave

<VirtualHost 00.00.00.00:443>
ServerName aaa.ru
ServerAlias http://www.aaa.ru
DocumentRoot /home/aaa/public_html

<Directory /home/aaa/public_html>
Options -Indexes +IncludesNOEXEC +FollowSymLinks
allow from all
AllowOverride All
</Directory>

SSLEngine on
SSLCertificateFile /home/aaa/ssl.cert
SSLCertificateKeyFile /home/aaa/ssl.key
</VirtualHost>

Вот мой конфиг (избранные места). Система такая же, как и у вас.

adepto
()
Ответ на: комментарий от leave

SSLInsecureRenegotiation off вписывала, толку нет.

Может в /etc/apache2/sites-enabled/default-ssl что-то не то?

<IfModule mod_ssl.c>
<VirtualHost 1.2.3.4:443>
    ServerAdmin qqq@eee.net
    ServerName http://www.eee.net

    DocumentRoot /usr/local/apache/htdocs/
    ErrorLog /var/log/apache2/error.log

    LogLevel warn

    CustomLog /var/log/apache2/ssl_access.log combined

    Options -Indexes +FollowSymLinks

    GnuTLSEnable on
    GnuTLSPriorities NORMAL
    GnuTLSCertificateFile /etc/ssl/private/serv-combined.crt
    GnuTLSKeyFile /etc/ssl/private/serv.key

    <FilesMatch «\.(cgi|shtml|phtml|php)$»>
        SSLOptions +StdEnvVars
    </FilesMatch>
    <Directory /usr/lib/cgi-bin>
        SSLOptions +StdEnvVars
    </Directory>

    BrowserMatch ".*MSIE.*" \
        nokeepalive ssl-unclean-shutdown \
        downgrade-1.0 force-response-1.0

</VirtualHost>

</IfModule>
infinity
() автор топика
Ответ на: комментарий от infinity

эээ, а с каких пор директивы GnuTLS относятся к модулю mod_ssl? Мне сейчас откровенно лень лезть с ноута на стационарник, где лежат ключи - днем кину рабочий конфиг.

leave ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[негодуэ][d-link]DWA-525 после перезагрузки не работает.
Admin
tbz2 обязательно распаковывать, чтобы примонтировать readonly ?