Re: OT : Problem s HTTPS (stranka nenalezena v IE)

Mon, 02 Apr 2007 01:08:43 -0700 

Břetislav Kubesa wrote:
>>>Pouzivam Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.8e na FreeBSD 
>>>6.2

[...]
> 
> Zkousel jsem na IE 6.0.2900.2180.xpsp2_gdr.061219-0316 - 128bit a na IE 
> 6.0.3790.0 - 128bit.
> Taktez ze starsich Win98, ale tam jsem verzi nezjistoval.
> Pro mne je to jednoznacne nekompatibilita IE s nejakym nastavenim na 
> serveru....
> 
> 
>>Pak lze laborovat s nastavenimi serveru (povolene sifry) a zkoumat, zda
>>to ma vliv a ktere sifry klient snese nebo ne. Zacal bych omezenim na
>>"slabe" sifry. I z toho se pak da neco mozna odvodit.
>>
>>Za nejpravdepodobnejsiho kandidata na vysvetleni tak vidim prilis
>>progresivni (moderni) nastaveni serveru v kombinaci s prilis starymi
>>klienty.
> 
> 
> Zkusim popr. ten ssldump doporuceny v dalsim prispevku. Problem je v tom, ze 
> prakticky identicke nastaveni (apache) pouzivam i na jine konfiguraci - 
> (FreeBSD 5.2, apache-2.0.59, openssl-0.9.8e), a na teto konfiguraci IE 
> probelmy nedela. Proto jsem se spise ptal, zda-li jste se nekdo nesetkal s 
> identickym problemem. Soude dle nalezenych prispevku je tento problem dosti 
> casty, avsak zadne z nabizenych reseni problem nevyresilo. Taky zkusim 
> prejit z Apache 2.2.4 na 2.0.59, treba to pomuze.

Nemyslim si, ze by bylo nutne prechazet na Apache 2.0.59, ja provozuji 
2.2.4 s SSL na vetsine serveru a na zadnem z nich neni problem v IE ani 
jinem prohlizeci. Takze problem bude spise v konkretnim nastaveni.

Z tech SSL related vybiram neco z vlastni konfigurace:

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl

SSLPassPhraseDialog  builtin
SSLSessionCache        shmcb:/var/run/ssl_scache(512000)
SSLSessionCacheTimeout  300
SSLMutex  file:/var/run/ssl_mutex
SSLCipherSuite 
ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
     SSLOptions +StdEnvVars
</Files>
SetEnvIf User-Agent ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0

pak samozrejme cesty k certifikatum a vic uz snad ani neni potreba 
[pouzivam RSA 1024 bit podepsany vlastnim CA]

Miroslav Lachman

-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem