Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Bug: SSL ssl_protocols order
On Tue, Oct 20, 2009 at 12:41:18AM +0400, Alex Eagle wrote:
> 2009/10/19 Igor Sysoev <is@xxxxxxxxxxxxx>:
> > Сейчас попробовал
> > server_name B;
> > ssl_protocols SSLv2 SSLv3 TLSv1;
> > ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>
> > server_name A;
> > ssl_protocols SSLv3 TLSv1;
> > ssl_ciphers
> > DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256-
> > SHA:DES-CBC3-S
> > HA:AES128-SHA:RC4-SHA:RC4-MD5;
>
> Не может быть связано с тем что у меня через include из разных файлов?
Нет.
> > Сервер А работает без ошибок (за исключением ругани на сертификаты),
> > протоколы соединения такие:
> >
> > MacOSX:
> > FF 3.0.14 SSLv3 DHE-RSA-CAMELLIA256-SHA
> > Opera/9.52 TLSv1 DHE-RSA-AES256-SHA
> > Chrome/4.0.222.5 TLSv1 AES128-SHA
> > Safari 4.0.3 TLSv1 AES128-SHA
> >
> > Windows 2003:
> > MSIE 6.0 SV1 SSLv3 RC4-MD5
>
> Да, ситуация интересна тем что на одних Win32 оно работало, на других
> нет. Установить закономерность пока не удалось. Но там где не работало
> (правда только одна машина проверена, вторую завтра) там вылечилось
> SSLv2 - вкл. Где работало - удавалось добиться ошибки не помню как, но
> аналогичные манипуляции с галками в IE.
> Я могу воспроизвести ситуацию и дать доступ IP который назовешь.
Для этого нужны разные браузеры, которых у меня нет.
Что может помочь, так это отладочный лог такого запроса.
> > В MSIE включался и выключался SSLv2.
> > В FF и Opera SSLv2 не как класса,
> > В Safari я вообще не нашёл настройку протоколов.
>
> Завтра с ним попробую.
>
> > В Chrome выбор протоколов задизэйблин.
>
> Четвертая вкладка, внизу, галка что-то про "SSLv2", у меня включалось.
В маковском хроме про протоколы ничего нет вообще. А настройка
сертификатов задизэйблина.
> >> Ну и было бы неплохо писать в лог о ситуации с IP.
> > Что именно ?
>
> Про совпадение IP, хоть какую-нибудь строчку для зацепки.
Это сложно сделать, так как в принципе такая схема работоспособна
при использовании wildcards и альтернативных имён. И ещё практика
показывает, что люди, которые не знают про проблему name-based
HTTPS hosts, в лог не смотрят.
--
Игорь Сысоев
http://sysoev.ru
|