Re: проблемы с SSL

To: debian-russian@lists.debian.org
Subject: Re: проблемы с SSL
From: Anton Gorlov <stalker@locum.ru>
Date: Wed, 8 Feb 2017 16:33:29 +0300
Message-id: <[🔎] ce9b6841-d169-3aed-859e-6189d82c5916@locum.ru>
In-reply-to: <[🔎] op.yvbfx9w8hmjs2w@debian13.homenet.bogus>
References: <[🔎] ac01c266-e4af-d963-61b5-245183bbad93@locum.ru> <[🔎] op.yvbfx9w8hmjs2w@debian13.homenet.bogus>

Почти..В nginx на мастер ноде в  chiphers были старые настройки, которые
использовались для проверки и так и остались.
заменил на
ssl_ciphers
"EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

08.02.2017 03:35, Михаил Касаджиков пишет:
> Проверьте какая используется подпись у сертификата. Если SHA1 —
> заменить. Сам на прошлой неделе заметил что aNag на ведроиде перестал
> подключаться к исинге — там как раз старый сертификат был, ещё с SHA1.
> Прикрутил Let's encrypt — всё заработало.
>
> Anton Gorlov <stalker@locum.ru> писал(а) в своём письме Wed, 08 Feb
> 2017 01:00:07 +0300:
>
>> All -а кто-нибудь знает что такого страшного в  9 дебиане сделали с ssl?
>>
>> Пытаюсь  тестовый сервер с debian stretch подключить к паппету, котрый
>> пока ещё живёт на wheezy
>>
>> И  весело получаю ошибку
>>
>> puppet agent --test --verbose --no-daemonize
>> Error: Could not request certificate: SSL_connect returned=1 errno=0
>> state=SSLv2/v3 read server hello A: sslv3 alert handshake failure
>> Exiting; failed to retrieve certificate and waitforcert is disabled
>>
>>
>>
>> Более того даже openssl выдаёт
>>
>> openssl s_client -connect 192.168.0.15:8140
>> CONNECTED(00000003)
>> 139637739426944:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert
>> handshake failure:ssl/record/rec_layer_s3.c:1388:SSL alert number 40
>> ---
>> no peer certificate available
>> ---
>> No client certificate CA names sent
>> ---
>> SSL handshake has read 7 bytes and written 176 bytes
>> Verification: OK
>> ---
>> New, (NONE), Cipher is (NONE)
>> Secure Renegotiation IS NOT supported
>> Compression: NONE
>> Expansion: NONE
>> No ALPN negotiated
>> SSL-Session:
>>     Protocol  : TLSv1.2
>>     Cipher    : 0000
>>     Session-ID:
>>     Session-ID-ctx:
>>     Master-Key:
>>     PSK identity: None
>>     PSK identity hint: None
>>     SRP username: None
>>     Start Time: 1486504793
>>     Timeout   : 7200 (sec)
>>     Verify return code: 0 (ok)
>>     Extended master secret: no
>>
>> При том, что с той же jessie всё Ок.
>>
>>
>
>

Reply to:

References:
- проблемы с SSL
  - From: Anton Gorlov <stalker@locum.ru>
- Re: проблемы с SSL
  - From: Михаил Касаджиков <hamer@h13online.net>

Prev by Date: Re: проблемы с SSL
Next by Date: Лексикографический порядок
Previous by thread: Re: проблемы с SSL
Next by thread: Лексикографический порядок
Index(es):
- Date
- Thread