Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: SSL handshake error

To: nginx-ru@xxxxxxxxx
Subject: Re: SSL handshake error
From: Dmitry Morozovsky <marck@xxxxxxxx>
Date: Thu, 13 Sep 2012 18:12:16 +0400 (MSK)
In-reply-to: <20120913131154.GQ40452@mdounin.ru>
References: <alpine.BSF.2.00.1209122135400.3433@woozle.rinet.ru> <20120913131154.GQ40452@mdounin.ru>

On Thu, 13 Sep 2012, Maxim Dounin wrote:

> > что-то мы тупим совокупно с коллегами по работе.
> > 
> > Имеется личный кабинет на https://ctl.rinet.ru/ с сертификатом от RapidSSL
> > 
> > *Некоторое* количество клиентов с виндой не могут туда прицепиться. 
> > openssl s_client показывает дамп сертификата и дальше не идёт.
> 
> Не вижу никаких проблем с openssl'ом:

Да вот и я ;)

> $ openssl s_client -connect ctl.rinet.ru:443
> ...
> HEAD / HTTP/1.0
> 
> HTTP/1.1 200 OK
> Server: nginx/1.1.17
> Date: Thu, 13 Sep 2012 12:59:15 GMT
> ...
> 
> Tested with:
> 
> OpenSSL 0.9.7e-p1 25 Oct 2004
> OpenSSL 1.0.0d 8 Feb 2011
> OpenSSL 1.0.1c 10 May 2012

Так в том-то и дело, что воспроизвести получается только на развёрнутой копии 
клиентской винды (openssl/win32 туда поставлен руками).

> > Попытки дебажить приводят к вот таким строкам в debug log:
> > 
> > 2012/09/12 21:34:04 [debug] 42238#0: *4798 http check ssl handshake
> > 2012/09/12 21:34:04 [debug] 42238#0: *4798 https ssl handshake: 0x16
> > 2012/09/12 21:34:04 [debug] 42238#0: *4798 SSL_do_handshake: -1
> > 2012/09/12 21:34:04 [debug] 42238#0: *4798 SSL_get_error: 2
> > 
> > И так висит, пока со стороны клиента не прервать. В случае браузера 
> > последние 
> > строки в дебаге те же.
> > 
> > Any hints/links?
> > 
> > Заранее спасибо.
> 
> SSL_get_error: 2 == SSL_ERROR_WANT_READ, ждём данных от клиента.  
> Я бы смотрел на сеть WireShark'ом, он хорошо SSL разбирает.  Но 
> может быть проблема совсем банальная, и e.g. большие пакеты 
> местами не пролезают?

Местами не пролазят какие-то пакеты, кажется, чуть ли не вне зависимости от 
размера, tcpdump порой видит tcp ack на один пакет там где  должно быть на 
два.

Мистика какая-то.

ОК, я получил подтверждение, что мы не совсем идиоты, спасибо, будем копать 
дальше ;)

-- 
Sincerely,
D.Marck                                     [DM5020, MCK-RIPE, DM3-RIPN]
[ FreeBSD committer:                                 marck@xxxxxxxxxxx ]
------------------------------------------------------------------------
*** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- marck@xxxxxxxx ***
------------------------------------------------------------------------

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

References:
- SSL handshake error
  - From: Dmitry Morozovsky
- Re: SSL handshake error
  - From: Maxim Dounin

Prev by Date: Re: Разные CMS с разными rewrite rules в директориях одного домена
Next by Date: Re: Разные CMS с разными rewrite rules в директориях одного домена
Previous by thread: Re: SSL handshake error
Next by thread: Allow, deny и error_page 403
Index(es):
- Date
- Thread