Re: OT : Problem s HTTPS (stranka nenalezena v IE)

Sun, 01 Apr 2007 14:07:15 -0700 

Břetislav Kubesa napsal/wrote, On 04/01/07 22:42:
> Pouzivam Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.8e na FreeBSD 6.2
> ...a pri pouziti IE (verze 5, 6...) se mi pri HTTPS zobrazi vzdy chyba 

> V debug logu se objevuje tohle :
> [info] Connection: Client IP: CLIENT_IP, Protocol: TLSv1, Cipher: RC4-MD5 
> (128/128 bits)
> [debug] ssl_engine_io.c(1786): OpenSSL: I/O error, 5 bytes expected to read 
> on BIO#8aff00 [mem: 8c8000]
> [info] [client CLIENT_IP] (70014)End of file found: SSL input filter read 
> failed.
> [debug] ssl_engine_kernel.c(1770): OpenSSL: Write: SSL negotiation finished 
> successfully
> [info] [client CLIENT_IP] Connection closed to child 5 with standard shutdown 
> (server SERVER_NAME:443)

        MSIE 5/6 neni dostatecna informace - jejich chovani se meni podle 
aktualni patchlevel jak MSIE tak systemu (a o tom nevime vubec nic). 
Mohlo by dokonce jit o problem s pouzitim prilis silne sifry proti 
prohlizeci, ktery (stale jeste) obsahuje (exportni) omezeni na silu 
sifrovani.

        Zejmena pokud ma pouzity klic vic nez 1024 bitu. A RC4/128 bitu take, 
pokud si pamatuju, spadala pod exportni zakaz. V nekterych verzich je 
nebylo mozne pouzivat vubec, v jinych jen v pripade podpisu vystavenych 
zcela konkretnimi CA.

        Osobne doporucuju - nejdriv aktualizovat clientsky system. Tim nemyslim 
na MSIE 7, ale na posledni verzi MSIE 6, vcetne vsech doporucenych 
updatu pro operacni system. To, jestli to pomuze muze neco napovedet o 
povaze problemu. Podle toho se pak muze najit reseni, ktere by treba ten 
update nevyzadovalo.

        Pak lze laborovat s nastavenimi serveru (povolene sifry) a zkoumat, zda 
to ma vliv a ktere sifry klient snese nebo ne. Zacal bych omezenim na 
"slabe" sifry. I z toho se pak da neco mozna odvodit.

        Za nejpravdepodobnejsiho kandidata na vysvetleni tak vidim prilis 
progresivni (moderni) nastaveni serveru v kombinaci s prilis starymi 
klienty.

                                        Dan


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz


-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem