poodle and broken ssl alerts

[Maxim Dounin]

Hello!

On Thu, Dec 18, 2014 at 01:19:03PM +0300, Anton Yuzhaninov wrote:

> После обновления openssl с 1.0.1g до 1.0.1j
> В логи стали в большом количестве сыпаться сообщения вида:
> 
> [crit] 767#0: *44215130 SSL_do_handshake() failed (SSL: error:140A1175:SSL
> routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback) while SSL
> handshaking, client: 192.0.0.225, server: 0.0.0.0:443
> 
> В то, что кто то пытается делать downgrade в таком масштабе я поверить не готов.
> Скорее всего это несовместимость изменений в openssl с какими то клиентами.
> 
> Кто нибудь разбирался с этой проблемой? Возможно есть какой то workaround
> чтобы не терять этих клиентов?

Для начала имеет смысл попытаться выяснить, что это за клиенты, и 
воспроизводится ли проблема.

В теории, такое может происходить и случайно - т.к. fallback  
может случиться просто от того, что не удалось установить 
соединение с первого раза. 

Just in case, уровень логгирования соответствующей ошибки понижен 
в 1.7.8, см. http://trac.nginx.org/nginx/ticket/662.

-- 
Maxim Dounin
http://nginx.org/