Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Bug: SSL ssl_protocols order

To: nginx-ru@xxxxxxxxx
Subject: Re: Bug: SSL ssl_protocols order
From: Igor Sysoev <is@xxxxxxxxxxxxx>
Date: Tue, 20 Oct 2009 16:24:51 +0400
In-reply-to: <548ebbb90910191341v4449ef8dra9d9829e02858e57@xxxxxxxxxxxxxx>
References: <548ebbb90910191104l400862eax3ce1b80388aa656c@xxxxxxxxxxxxxx> <20091019182258.GA48645@xxxxxxxxxxxxx> <548ebbb90910191133m2a022f1dm871cdc5aefd6abf1@xxxxxxxxxxxxxx> <20091019195109.GB48645@xxxxxxxxxxxxx> <548ebbb90910191341v4449ef8dra9d9829e02858e57@xxxxxxxxxxxxxx>

On Tue, Oct 20, 2009 at 12:41:18AM +0400, Alex Eagle wrote:

> 2009/10/19 Igor Sysoev <is@xxxxxxxxxxxxx>:
> > Сейчас попробовал
> >  server_name    B;
> >  ssl_protocols  SSLv2 SSLv3 TLSv1;
> >  ssl_ciphers     ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
> 
> >  server_name    A;
> >  ssl_protocols  SSLv3 TLSv1;
> >  ssl_ciphers
> > DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256- 
> > SHA:DES-CBC3-S
> > HA:AES128-SHA:RC4-SHA:RC4-MD5;
> 
> Не может быть связано с тем что у меня через include из разных файлов?

Нет.

> > Сервер А работает без ошибок (за исключением ругани на сертификаты),
> > протоколы соединения такие:
> >
> > MacOSX:
> > FF 3.0.14               SSLv3   DHE-RSA-CAMELLIA256-SHA
> > Opera/9.52              TLSv1   DHE-RSA-AES256-SHA
> > Chrome/4.0.222.5        TLSv1   AES128-SHA
> > Safari 4.0.3            TLSv1   AES128-SHA
> >
> > Windows 2003:
> > MSIE 6.0 SV1            SSLv3   RC4-MD5
> 
> Да, ситуация интересна тем что на одних Win32 оно работало, на других
> нет. Установить закономерность пока не удалось. Но там где не работало
> (правда только одна машина проверена, вторую завтра) там вылечилось
> SSLv2 - вкл. Где работало - удавалось добиться ошибки не помню как, но
> аналогичные манипуляции с галками в IE.
> Я могу воспроизвести ситуацию и дать доступ IP который назовешь.

Для этого нужны разные браузеры, которых у меня нет.
Что может помочь, так это отладочный лог такого запроса.

> > В MSIE включался и выключался SSLv2.
> > В FF и Opera SSLv2 не как класса,
> > В Safari я вообще не нашёл настройку протоколов.
> 
> Завтра с ним попробую.
> 
> > В Chrome выбор протоколов задизэйблин.
> 
> Четвертая вкладка, внизу, галка что-то про "SSLv2", у меня включалось.

В маковском хроме про протоколы ничего нет вообще. А настройка
сертификатов задизэйблина.

> >> Ну и было бы неплохо писать в лог о ситуации с IP.
> > Что именно ?
> 
> Про совпадение IP, хоть какую-нибудь строчку для зацепки.

Это сложно сделать, так как в принципе такая схема работоспособна
при использовании wildcards и альтернативных имён. И ещё практика
показывает, что люди, которые не знают про проблему name-based
HTTPS hosts, в лог не смотрят.


-- 
Игорь Сысоев
http://sysoev.ru

References:
- Bug: SSL ssl_protocols order
  - From: Alex Eagle
- Re: Bug: SSL ssl_protocols order
  - From: Igor Sysoev
- Re: Bug: SSL ssl_protocols order
  - From: Alex Eagle
- Re: Bug: SSL ssl_protocols order
  - From: Igor Sysoev
- Re: Bug: SSL ssl_protocols order
  - From: Alex Eagle

Prev by Date: Re: 502 и load balancing
Next by Date: Re: no charset_map
Previous by thread: Re: Bug: SSL ssl_protocols order
Next by thread: Re: Bug: SSL ssl_protocols order
Index(es):
- Date
- Thread