Как отключить SHA1 в хэндшейке сервера и клиента?

Question

[Василий Пупкин]

Появился Chrome 117 и отвалились сайты. Ошибка ERR_SSL_PROTOCOL_ERROR
Это не связано с доменными сертификатами.

Начал разбираться.
Смотрим пакеты wireshark.
При соединении с основным доменом на сервере в TLS сертификат отдается в SHA256
При соединении с любым следующим отдается в SHA1
Любой домен переставляем первым в списке виртуалхостов и он начинает отдавать корректно в SHA256

Как эту чертовщину побороть?

P.S. Наверное неправильно написал. Не сертификат а поле Signature algoritm. rsa_pkcs1_sha256 и rsa_pkcs1_sha1

Apache 2.2.22
Openssl 1.1.0j

Answer 1

[Dimonchik]

так а в SSLSignatureAlgorithms что? если выкинуть sha1 что-то сломается?

круговорот, видимо, связан с хз чем - может рулетка какая в коде

Comments

[Василий Пупкин]

Не знаю что такое SSLSignatureAlgorithms но если на самом сервер пробовать
openssl s_client -connect xxx:443 то handshake проходит
...
SSL handshake has read 3785 bytes and written 302 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256
...

[Dimonchik]

вот тут когда sha1
Cipher is ECDHE-RSA-AES128-GCM-SHA256
надо найти где оно в конфиге

[Василий Пупкин]

Dimonchik, так в том то и прикол что через openssl все домены отдают нормальные ответы. проблема только с Хромом 117
Ему какого то черта сервер отдает SHA1 с хоста отличного от основного

[Dimonchik]

Василий Пупкин, ну - так убрать, чтобы за sha1 сервер забыл - я ж об этом говорю

[mayton2019]

А если сравнить трафик с Mozilla?