Bug: SSL ssl_protocols order

Igor Sysoev is at rambler-co.ru
Tue Oct 20 16:24:51 MSD 2009 

On Tue, Oct 20, 2009 at 12:41:18AM +0400, Alex Eagle wrote:

> 2009/10/19 Igor Sysoev <is at rambler-co.ru>:
> > Сейчас попробовал
> >  server_name    B;
> >  ssl_protocols  SSLv2 SSLv3 TLSv1;
> >  ssl_ciphers     ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
> 
> >  server_name    A;
> >  ssl_protocols  SSLv3 TLSv1;
> >  ssl_ciphers
> > DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256- SHA:DES-CBC3-S
> > HA:AES128-SHA:RC4-SHA:RC4-MD5;
> 
> Не может быть связано с тем что у меня через include из разных файлов?

Нет.

> > Сервер А работает без ошибок (за исключением ругани на сертификаты),
> > протоколы соединения такие:
> >
> > MacOSX:
> > FF 3.0.14               SSLv3   DHE-RSA-CAMELLIA256-SHA
> > Opera/9.52              TLSv1   DHE-RSA-AES256-SHA
> > Chrome/4.0.222.5        TLSv1   AES128-SHA
> > Safari 4.0.3            TLSv1   AES128-SHA
> >
> > Windows 2003:
> > MSIE 6.0 SV1            SSLv3   RC4-MD5
> 
> Да, ситуация интересна тем что на одних Win32 оно работало, на других
> нет. Установить закономерность пока не удалось. Но там где не работало
> (правда только одна машина проверена, вторую завтра) там вылечилось
> SSLv2 - вкл. Где работало - удавалось добиться ошибки не помню как, но
> аналогичные манипуляции с галками в IE.
> Я могу воспроизвести ситуацию и дать доступ IP который назовешь.

Для этого нужны разные браузеры, которых у меня нет.
Что может помочь, так это отладочный лог такого запроса.

> > В MSIE включался и выключался SSLv2.
> > В FF и Opera SSLv2 не как класса,
> > В Safari я вообще не нашёл настройку протоколов.
> 
> Завтра с ним попробую.
> 
> > В Chrome выбор протоколов задизэйблин.
> 
> Четвертая вкладка, внизу, галка что-то про "SSLv2", у меня включалось.

В маковском хроме про протоколы ничего нет вообще. А настройка
сертификатов задизэйблина.

> >> Ну и было бы неплохо писать в лог о ситуации с IP.
> > Что именно ?
> 
> Про совпадение IP, хоть какую-нибудь строчку для зацепки.

Это сложно сделать, так как в принципе такая схема работоспособна
при использовании wildcards и альтернативных имён. И ещё практика
показывает, что люди, которые не знают про проблему name-based
HTTPS hosts, в лог не смотрят.


-- 
Игорь Сысоев
http://sysoev.ru

More information about the nginx-ru mailing list