OT : Problem s HTTPS (stranka nenalezena v IE)
Dan Lukes
dan at obluda.cz
Sun Apr 1 23:06:52 CEST 2007
Břetislav Kubesa napsal/wrote, On 04/01/07 22:42:
> Pouzivam Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.8e na FreeBSD 6.2
> ...a pri pouziti IE (verze 5, 6...) se mi pri HTTPS zobrazi vzdy chyba
> V debug logu se objevuje tohle :
> [info] Connection: Client IP: CLIENT_IP, Protocol: TLSv1, Cipher: RC4-MD5 (128/128 bits)
> [debug] ssl_engine_io.c(1786): OpenSSL: I/O error, 5 bytes expected to read on BIO#8aff00 [mem: 8c8000]
> [info] [client CLIENT_IP] (70014)End of file found: SSL input filter read failed.
> [debug] ssl_engine_kernel.c(1770): OpenSSL: Write: SSL negotiation finished successfully
> [info] [client CLIENT_IP] Connection closed to child 5 with standard shutdown (server SERVER_NAME:443)
MSIE 5/6 neni dostatecna informace - jejich chovani se meni podle
aktualni patchlevel jak MSIE tak systemu (a o tom nevime vubec nic).
Mohlo by dokonce jit o problem s pouzitim prilis silne sifry proti
prohlizeci, ktery (stale jeste) obsahuje (exportni) omezeni na silu
sifrovani.
Zejmena pokud ma pouzity klic vic nez 1024 bitu. A RC4/128 bitu take,
pokud si pamatuju, spadala pod exportni zakaz. V nekterych verzich je
nebylo mozne pouzivat vubec, v jinych jen v pripade podpisu vystavenych
zcela konkretnimi CA.
Osobne doporucuju - nejdriv aktualizovat clientsky system. Tim nemyslim
na MSIE 7, ale na posledni verzi MSIE 6, vcetne vsech doporucenych
updatu pro operacni system. To, jestli to pomuze muze neco napovedet o
povaze problemu. Podle toho se pak muze najit reseni, ktere by treba ten
update nevyzadovalo.
Pak lze laborovat s nastavenimi serveru (povolene sifry) a zkoumat, zda
to ma vliv a ktere sifry klient snese nebo ne. Zacal bych omezenim na
"slabe" sifry. I z toho se pak da neco mozna odvodit.
Za nejpravdepodobnejsiho kandidata na vysvetleni tak vidim prilis
progresivni (moderni) nastaveni serveru v kombinaci s prilis starymi
klienty.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
More information about the Users-l
mailing list