Nginx, SSLHandshakeException. Как победить?

Question

p4s8x @p4s8x

Nginx, SSLHandshakeException. Как победить?

Иногда(~0.5% запросов) бывает так, что первое подключение к серверу сваливается в SSL_ERROR. Зависимости от браузера, ОС не выявлено, но выборка не очень большая.
К нашему серверу еще подключается внешние сервисы, они иногда также не могут к нам подключиться и прислали нам отчеты:

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
unable to find valid certification path to requested target

Не знаем имеет ли это к нам отношение или это разные проблемы, добиться какой-то повторяемости ошибки - не получается.
Сервис наш это некое - api, средне нагружен, CPU 5-10%, траффик 100мбит-200мбит в среднем.

Настройки nginx по SSL следующие:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
    ssl_prefer_server_ciphers on;
    ssl_session_timeout 5m;
    ssl_session_cache shared:SSL:50m;
    ssl_certificate /etc/nginx/ssl/shared.crt;
    ssl_certificate_key /etc/nginx/ssl/shared.key;
    add_header Strict-Transport-Security "max-age=31536000";

Куда можно копать? Как потестить такое?

Вопрос задан более трёх лет назад
648 просмотров

5 комментариев

Подписаться 2 Оценить 5 комментариев

Андрей @VELIK505

так а в логах нг чего там?
Расширьте шифр:
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
Отладьте OSCP

Написано более трёх лет назад
p4s8x @p4s8x Автор вопроса

Это самое печальное.. в логах NGINX вообще нет ничего.( Пока план попытаться wireshark использовать, но пока повторить не получается, не очень ясно что сможем узнать. Шифры попробуем расширить, спасибо.

Написано более трёх лет назад
Андрей @VELIK505

p4s8x: OSCP обязательно ещё если нет

Написано более трёх лет назад
Андрей @VELIK505

вижу что они прислали лог что не могут получить доступ запросом проверки подлиности сертифаката и тут скорее всего раз в логах нг пусто то банит либо косячит центр сертификации. тут OSCP спасение

Написано более трёх лет назад
ky0 @ky0 Куратор тега Nginx

p4s8x: Андрей: разумеется, в логах веб-сервера ничего не будет, поскольку это jdk-шная ошибка и связана она с тем, что в кейсторе клиента нет соответствующего корневого сертификата.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

3 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Java

+2 ещё

Простой
Telegram Bots Long Polling Spring Boot Starter для чего нужен данный стартер?
- 1 подписчик
- вчера
- 71 просмотр
1

ответ
Цифровые сертификаты

Простой
Что не так с запросом сертификата Let's encrypt?
- 1 подписчик
- 20 нояб.
- 134 просмотра
1

ответ
Java

Простой
Можно ли как-то упростить код на Java?
- 1 подписчик
- 20 нояб.
- 96 просмотров
1

ответ
Nginx

+1 ещё

Сложный
Как настроить HTTPS прокси сервер на одном IP, что backend сервера видели IP клиента?
- 1 подписчик
- 20 нояб.
- 98 просмотров
4

ответа
Android

+1 ещё

Средний
Как компилировать java код в рантайме?
- 1 подписчик
- 20 нояб.
- 164 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
Кто блокирует сертификат и что делать?
- 2 подписчика
- 20 нояб.
- 1005 просмотров
4

ответа
Java

Простой
Как работает стирание типов?
- 1 подписчик
- 19 нояб.
- 66 просмотров
1

ответ
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 161 просмотр
0

ответов
VPN

+1 ещё

Простой
Как продлить сертификат панели 3X-UI?
- 1 подписчик
- 19 нояб.
- 317 просмотров
2

ответа
Android

+2 ещё

Простой
Размеры EditText уменьшаются до wrap_content при добавлении в ViewPager, как этого избежать?
- 1 подписчик
- 18 нояб.
- 67 просмотров
1

ответ
Показать ещё Загружается…

Java Developer

Aston

от 280 000 до 319 000 ₽

Java-разработчик

ИТ-Холдинг Т1 • Москва

от 250 000 ₽

Java-разработчик в Маркет

Яндекс • Москва

от 180 000 до 350 000 ₽

Смонтировать видео

23 нояб. 2024, в 01:31

1000 руб./за проект

Настроить сайт

23 нояб. 2024, в 00:16

2000 руб./за проект

Разобрать текущий ETL-процесс

22 нояб. 2024, в 23:55

3000 руб./за проект

так а в логах нг чего там?
Расширьте шифр:
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
Отладьте OSCP
Это самое печальное.. в логах NGINX вообще нет ничего.( Пока план попытаться wireshark использовать, но пока повторить не получается, не очень ясно что сможем узнать. Шифры попробуем расширить, спасибо.
вижу что они прислали лог что не могут получить доступ запросом проверки подлиности сертифаката и тут скорее всего раз в логах нг пусто то банит либо косячит центр сертификации. тут OSCP спасение
p4s8x: Андрей: разумеется, в логах веб-сервера ничего не будет, поскольку это jdk-шная ошибка и связана она с тем, что в кейсторе клиента нет соответствующего корневого сертификата.

Answer 1 · 2016-12-21 01:09:25

ky0 @ky0 Куратор тега Nginx

Миллиардер, филантроп, патологический лгун

Просто не нашёлся корневой сертификат. Пусть обновят jdk или просто возьмут кейстор посвежее, если обновить не получается.

Ответ написан более трёх лет назад

3 комментария

Nginx, SSLHandshakeException. Как победить?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт