- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день.
С переходом с 8-го на 9-ый Debian начали в логах появляться ошибки:
[crit] 3283#3283: *1201760 SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) while SSL handshaking
Насколько я понимаю поддержка версии SSL на стороне клиента не поддерживается сервером.
Так как конфиги идентичны с Debian 8, то думаю дело именно в Debian 9.
Вот что нагуглил:
ssl-hello-chk использует sslv3, который отключен в Debian 9. Вы можете использовать tcp-check вместо этого.
Смущает лишь то, что в интернете речь идет повсюду о HAProxy. Который я не устанавливал и по умолчанию его вроде нет в Debian 9. Или найти не могу.
Вопрос в том что где именно это меняется и в правильном ли я направлении?
Подскажите пожалуйста.
А Вы правда хотите включить sslv3 ?
На текущий момент только tls 1.2 и tls 1.3 считаются "правильными".
tls 1.0, tls 1.1 - признаны "deprecated", а sslv3 признан "небезопасным".
Браузер (или любой другой веб клиент), который пытается подключится к вам, не поддерживается современным openssl, он использует слишком старые
стандарты и сам даже не поддерживает нормальные безопасные шифры. Скорее всего клиент пытается использовать SSLv3
(а быть может и ещё старее), который, как сказал suffix признан небезопасным, т.е уязвимым. Вам не надо это включать. Все современные браузеры
давно поддерживают TLS 1.2, более старые ещё работают на TLS 1.1 и 1.0 (хоть они и признаны устаревшими, люди пользуются).
SSLv3 в свою очередь - нет, его используют разве что боты, как и юзер агент 6го эксплорера на базе WinXP, например.
Более того, настоятельно рекомендую настроить ssl в nginx, указать использовать только протоколы TLS 1.0/1.1/1.2 и правильную (безопасную) цепочку
шифров и указать браузерам принудительно их использовать (приоритет серверным шифрам, а не клиентским). Проверить свои настройки вы можете тут:
https://www.ssllabs.com/ssltest/
suffix, Evas, Спасибо! Не буду ничего изменять.
По ssllabs.com всегда проверял и доводил все до A+.
Только учтите, что IE 7 (windows XP) и андроид 4.4.2 и ниже не смогут подключиться к вашему сайту. Но а надо ли оно?
Если оставить поддержку TLS 1.0 и 1.1, смогут. XP конечно без вариантов, минимум win7, но андроид сможет, даже 2й. На счёт надо или
не надо - вопрос неоднозначный. эксплорер под XP нет, одни боты таким представляются. Андроид ниже 4.4 всё же есть у людей. Я бы оставил.
pupseg, Почему же. Со сторонних браузеров - вполне ещё смогут.