https

1

1

Есть пара интересующих вопросов. 1. Можно ли на ssl.com фришный сертификат продлить еще на 90 дней и тд.? 2. В логах апача (Apache/1.3.41) Периодичесли наблюдаю следующее:

[Wed Jan  8 01:16:55 2014] [error] mod_ssl: SSL handshake failed (server hbars.aa.am:443, client 37.155.3.164) (OpenSSL library error follows)
[Wed Jan  8 01:16:55 2014] [error] OpenSSL: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

Причем сам на него ходил со всего чего было под рукой (ff, ie, rekonq, с планшетов и т.п.) и http://netrenderer.com показывает нормально.

s135-router.geotek.de - - [08/Jan/2014:02:49:22 +0300] TLSv1 AES128-SHA "GET /counter/counter.gif HTTP/1.1" 200 610 "https://hbars.aa.am/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)"
s135-router.geotek.de - - [08/Jan/2014:02:49:22 +0300] TLSv1 AES128-SHA "GET /css/custom.css
HTTP/1.1" 200 3176 "https://hbars.aa.am/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)"

В апаче уже прописал

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW:-SSLv2

Можно игнорировать? mod_ssl 2.8.31

Ссылка

←	Скрытый файл/раздел

прошу помощи www домены слитают

→

А попробуй сам к серверу подключиться с клиента, умеющего только SSL2. Как сервер в этом случае в логи ругается?
Или просто openssl s_client -connect hbars.aa.am:443 -ssl2

thesis ★★★★★
(08.01.14 04:30:57 MSK)

Ответ на: комментарий от thesis 08.01.14 04:30:57 MSK

Вот что.

openssl s_client -connect hbars.aa.am:443 -ssl3
CONNECTED(00000003)
depth=2 /C=SE/O=AddTrust AB/OU=AddTrust External TTP

Все ок.

openssl s_client -connect hbars.aa.am:443 -ssl2
CONNECTED(00000003)
write:errno=104

Не ок. С linux.org.ru то же самое. С ssl3 все нормально.

openssl s_client -connect linux.org.ru:443 -ssl2
CONNECTED(00000003)
16121:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:427:

openssl кривой, или что?

hbars ★★★★★
(08.01.14 15:23:53 MSK) автор топика

Ответ на: комментарий от hbars 08.01.14 15:23:53 MSK

Я имел в виду, глянь, что при этом в логах апача. Вполне может быть, что там как раз и есть сабжевая «SSL3_GET_RECORD:wrong version number».

openssl кривой, или что?

Почему кривой? Послушный. Ты сам ему явно запретил всё, кроме SSL3 и TLS1.

thesis ★★★★★
(08.01.14 15:51:03 MSK)

1. Заплати и продлишь. Вообще, чем startssl не нравится? Нужен wildcard?

2. https://www.ssllabs.com/ssltest/ прогони, оно в красках распишет, что у тебя с ssl, как соединятся разные браузеры и в сторону каких проблем копать.

x3al ★★★★★
(08.01.14 16:10:03 MSK)

Ответ на: комментарий от thesis 08.01.14 15:51:03 MSK

Почему кривой? Послушный. Ты сам ему явно запретил всё, кроме SSL3 и TLS1.

Ато. :) Просто версия ssl с которым апач собирался и знать ни о чем кроме tls1,ssl2,ssl3 не знал.
Сегодня пересобрал распоследний openssl-1.0.1f, подправил mod_ssl чтоб с ним собирался. Пересобрал всю кучу и теперь то что вижу на https://www.ssllabs.com/ssltest/ радует глаз.

hbars ★★★★★
(09.01.14 01:22:10 MSK) автор топика

Ответ на: комментарий от x3al 08.01.14 16:10:03 MSK

Заплати и продлишь. Вообще, чем startssl не нравится? Нужен wildcard?

Это понятно. Зачем мне для дома. Нужно по другим причинам. На startssl можно продлять? wildcard не нужен.

https://www.ssllabs.com/ssltest/ прогони, оно в красках распишет, что у тебя с ssl, как соединятся разные браузеры и в сторону каких проблем копать.

А вот за это спасибо. Очень помогло.

hbars ★★★★★
(09.01.14 01:29:26 MSK) автор топика

Ответ на: комментарий от hbars 09.01.14 01:22:10 MSK

Дык а выяснил ли, это именно попытка подключиться с использованием SSL2 вела к упомянутой ошибке в логах, или дело было не в ней?

thesis ★★★★★
(09.01.14 01:31:35 MSK)

Ответ на: комментарий от thesis 09.01.14 01:31:35 MSK

Локально воспроизвести не получается. А в логах пока не видно.
Время покажет.

hbars ★★★★★
(09.01.14 01:39:58 MSK) автор топика

Ссылка

Ответ на: комментарий от hbars 09.01.14 01:29:26 MSK

На startssl можно продлять?

Продления по-моему нигде не бывает. Просто выписывают новый сертификат с учетом оставшегося срока.

startssl просто не распиарен, а вообще там полный набор сервисов, но цены на порядок ниже чем везде.

Vit ★★★★★
(09.01.14 01:46:50 MSK)

Ссылка

Ответ на: комментарий от hbars 09.01.14 01:29:26 MSK

startssl даёт бесплатный сертификат на 1 поддомен (например, http://www.yourdomain.tld) + домен (yourdomain.tld), обновляется раз в год. ssl.com — trial на месяц.

x3al ★★★★★
(09.01.14 06:40:55 MSK)