Debian 9 (SSL: error :version too low)

Likvik
На сайте с 29.07.2010
Offline
111
2274

Добрый день.

С переходом с 8-го на 9-ый Debian начали в логах появляться ошибки:

[crit] 3283#3283: *1201760 SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) while SSL handshaking

Насколько я понимаю поддержка версии SSL на стороне клиента не поддерживается сервером.

Так как конфиги идентичны с Debian 8, то думаю дело именно в Debian 9.

Вот что нагуглил:

ssl-hello-chk использует sslv3, который отключен в Debian 9. Вы можете использовать tcp-check вместо этого.

Смущает лишь то, что в интернете речь идет повсюду о HAProxy. Который я не устанавливал и по умолчанию его вроде нет в Debian 9. Или найти не могу.

Вопрос в том что где именно это меняется и в правильном ли я направлении?

Подскажите пожалуйста.

Незнание порождает уверенность.
suffix
На сайте с 26.08.2010
Offline
285
#1

А Вы правда хотите включить sslv3 ?

На текущий момент только tls 1.2 и tls 1.3 считаются "правильными".

tls 1.0, tls 1.1 - признаны "deprecated", а sslv3 признан "небезопасным".

Клуб любителей хрюш (https://www.babai.ru)
Evas EvaSystems
На сайте с 31.05.2012
Offline
89
#2

Браузер (или любой другой веб клиент), который пытается подключится к вам, не поддерживается современным openssl, он использует слишком старые

стандарты и сам даже не поддерживает нормальные безопасные шифры. Скорее всего клиент пытается использовать SSLv3

(а быть может и ещё старее), который, как сказал suffix признан небезопасным, т.е уязвимым. Вам не надо это включать. Все современные браузеры

давно поддерживают TLS 1.2, более старые ещё работают на TLS 1.1 и 1.0 (хоть они и признаны устаревшими, люди пользуются).

SSLv3 в свою очередь - нет, его используют разве что боты, как и юзер агент 6го эксплорера на базе WinXP, например.

Более того, настоятельно рекомендую настроить ssl в nginx, указать использовать только протоколы TLS 1.0/1.1/1.2 и правильную (безопасную) цепочку

шифров и указать браузерам принудительно их использовать (приоритет серверным шифрам, а не клиентским). Проверить свои настройки вы можете тут:

https://www.ssllabs.com/ssltest/

Системный администратор Linux. Настройка, сопровождение и оптимизация серверов. Отзывы - searchengines.guru/ru/forum/1017473
Likvik
На сайте с 29.07.2010
Offline
111
#3

suffix, Evas, Спасибо! Не буду ничего изменять.

По ssllabs.com всегда проверял и доводил все до A+.

pupseg
На сайте с 14.05.2010
Offline
339
#4

Только учтите, что IE 7 (windows XP) и андроид 4.4.2 и ниже не смогут подключиться к вашему сайту. Но а надо ли оно?

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
Evas EvaSystems
На сайте с 31.05.2012
Offline
89
#5

Если оставить поддержку TLS 1.0 и 1.1, смогут. XP конечно без вариантов, минимум win7, но андроид сможет, даже 2й. На счёт надо или

не надо - вопрос неоднозначный. эксплорер под XP нет, одни боты таким представляются. Андроид ниже 4.4 всё же есть у людей. Я бы оставил.

lonelywoolf
На сайте с 23.12.2013
Offline
151
#6

pupseg, Почему же. Со сторонних браузеров - вполне ещё смогут.

Платный и бесплатный хостинг с защитой от DDoS (http://aquinas.su)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий