OT : Problem s HTTPS (stranka nenalezena v IE)

Dan Lukes dan at obluda.cz
Sun Apr 1 23:06:52 CEST 2007


Břetislav Kubesa napsal/wrote, On 04/01/07 22:42:
> Pouzivam Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.8e na FreeBSD 6.2
> ...a pri pouziti IE (verze 5, 6...) se mi pri HTTPS zobrazi vzdy chyba 

> V debug logu se objevuje tohle :
> [info] Connection: Client IP: CLIENT_IP, Protocol: TLSv1, Cipher: RC4-MD5 (128/128 bits)
> [debug] ssl_engine_io.c(1786): OpenSSL: I/O error, 5 bytes expected to read on BIO#8aff00 [mem: 8c8000]
> [info] [client CLIENT_IP] (70014)End of file found: SSL input filter read failed.
> [debug] ssl_engine_kernel.c(1770): OpenSSL: Write: SSL negotiation finished successfully
> [info] [client CLIENT_IP] Connection closed to child 5 with standard shutdown (server SERVER_NAME:443)

	MSIE 5/6 neni dostatecna informace - jejich chovani se meni podle 
aktualni patchlevel jak MSIE tak systemu (a o tom nevime vubec nic). 
Mohlo by dokonce jit o problem s pouzitim prilis silne sifry proti 
prohlizeci, ktery (stale jeste) obsahuje (exportni) omezeni na silu 
sifrovani.

	Zejmena pokud ma pouzity klic vic nez 1024 bitu. A RC4/128 bitu take, 
pokud si pamatuju, spadala pod exportni zakaz. V nekterych verzich je 
nebylo mozne pouzivat vubec, v jinych jen v pripade podpisu vystavenych 
zcela konkretnimi CA.

	Osobne doporucuju - nejdriv aktualizovat clientsky system. Tim nemyslim 
na MSIE 7, ale na posledni verzi MSIE 6, vcetne vsech doporucenych 
updatu pro operacni system. To, jestli to pomuze muze neco napovedet o 
povaze problemu. Podle toho se pak muze najit reseni, ktere by treba ten 
update nevyzadovalo.

	Pak lze laborovat s nastavenimi serveru (povolene sifry) a zkoumat, zda 
to ma vliv a ktere sifry klient snese nebo ne. Zacal bych omezenim na 
"slabe" sifry. I z toho se pak da neco mozna odvodit.

	Za nejpravdepodobnejsiho kandidata na vysvetleni tak vidim prilis 
progresivni (moderni) nastaveni serveru v kombinaci s prilis starymi 
klienty.

					Dan


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz





More information about the Users-l mailing list