OT : Problem s HTTPS (stranka nenalezena v IE)
Miroslav Lachman
000.fbsd at quip.cz
Mon Apr 2 10:07:56 CEST 2007
Břetislav Kubesa wrote:
>>>Pouzivam Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.8e na FreeBSD
>>>6.2
[...]
>
> Zkousel jsem na IE 6.0.2900.2180.xpsp2_gdr.061219-0316 - 128bit a na IE
> 6.0.3790.0 - 128bit.
> Taktez ze starsich Win98, ale tam jsem verzi nezjistoval.
> Pro mne je to jednoznacne nekompatibilita IE s nejakym nastavenim na
> serveru....
>
>
>>Pak lze laborovat s nastavenimi serveru (povolene sifry) a zkoumat, zda
>>to ma vliv a ktere sifry klient snese nebo ne. Zacal bych omezenim na
>>"slabe" sifry. I z toho se pak da neco mozna odvodit.
>>
>>Za nejpravdepodobnejsiho kandidata na vysvetleni tak vidim prilis
>>progresivni (moderni) nastaveni serveru v kombinaci s prilis starymi
>>klienty.
>
>
> Zkusim popr. ten ssldump doporuceny v dalsim prispevku. Problem je v tom, ze
> prakticky identicke nastaveni (apache) pouzivam i na jine konfiguraci -
> (FreeBSD 5.2, apache-2.0.59, openssl-0.9.8e), a na teto konfiguraci IE
> probelmy nedela. Proto jsem se spise ptal, zda-li jste se nekdo nesetkal s
> identickym problemem. Soude dle nalezenych prispevku je tento problem dosti
> casty, avsak zadne z nabizenych reseni problem nevyresilo. Taky zkusim
> prejit z Apache 2.2.4 na 2.0.59, treba to pomuze.
Nemyslim si, ze by bylo nutne prechazet na Apache 2.0.59, ja provozuji
2.2.4 s SSL na vetsine serveru a na zadnem z nich neni problem v IE ani
jinem prohlizeci. Takze problem bude spise v konkretnim nastaveni.
Z tech SSL related vybiram neco z vlastni konfigurace:
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/run/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex file:/var/run/ssl_mutex
SSLCipherSuite
ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
SSLOptions +StdEnvVars
</Files>
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
pak samozrejme cesty k certifikatum a vic uz snad ani neni potreba
[pouzivam RSA 1024 bit podepsany vlastnim CA]
Miroslav Lachman
More information about the Users-l
mailing list