Nginx, SSLHandshakeException. Как победить?

Question

p4s8x @p4s8x

Nginx, SSLHandshakeException. Как победить?

Иногда(~0.5% запросов) бывает так, что первое подключение к серверу сваливается в SSL_ERROR. Зависимости от браузера, ОС не выявлено, но выборка не очень большая.
К нашему серверу еще подключается внешние сервисы, они иногда также не могут к нам подключиться и прислали нам отчеты:

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
unable to find valid certification path to requested target

Не знаем имеет ли это к нам отношение или это разные проблемы, добиться какой-то повторяемости ошибки - не получается.
Сервис наш это некое - api, средне нагружен, CPU 5-10%, траффик 100мбит-200мбит в среднем.

Настройки nginx по SSL следующие:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
    ssl_prefer_server_ciphers on;
    ssl_session_timeout 5m;
    ssl_session_cache shared:SSL:50m;
    ssl_certificate /etc/nginx/ssl/shared.crt;
    ssl_certificate_key /etc/nginx/ssl/shared.key;
    add_header Strict-Transport-Security "max-age=31536000";

Куда можно копать? Как потестить такое?

Вопрос задан более трёх лет назад
639 просмотров

5 комментариев

Подписаться 2 Оценить 5 комментариев

Андрей @VELIK505

так а в логах нг чего там?
Расширьте шифр:
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
Отладьте OSCP

Написано более трёх лет назад
p4s8x @p4s8x Автор вопроса

Это самое печальное.. в логах NGINX вообще нет ничего.( Пока план попытаться wireshark использовать, но пока повторить не получается, не очень ясно что сможем узнать. Шифры попробуем расширить, спасибо.

Написано более трёх лет назад
Андрей @VELIK505

p4s8x: OSCP обязательно ещё если нет

Написано более трёх лет назад
Андрей @VELIK505

вижу что они прислали лог что не могут получить доступ запросом проверки подлиности сертифаката и тут скорее всего раз в логах нг пусто то банит либо косячит центр сертификации. тут OSCP спасение

Написано более трёх лет назад
ky0 @ky0 Куратор тега Nginx

p4s8x: Андрей: разумеется, в логах веб-сервера ничего не будет, поскольку это jdk-шная ошибка и связана она с тем, что в кейсторе клиента нет соответствующего корневого сертификата.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

3 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Java

+1 ещё

Простой
Почему Spring не видит html представления?
- 1 подписчик
- вчера
- 79 просмотров
1

ответ
Android

+1 ещё

Простой
Как сделать так что бы приложение нельзя было свернуть и использовать функции планшета?
- 2 подписчика
- 02 мая
- 155 просмотров
1

ответ
Nginx

Средний
Как в nginx заменить ссылки на странице?
- 1 подписчик
- 02 мая
- 125 просмотров
0

ответов
Django

+1 ещё

Простой
Почему nginx не отдает статику, хотя работает?
- 1 подписчик
- 01 мая
- 103 просмотра
3

ответа
Nginx

+1 ещё

Простой
Как настроить обратный прокси для rdp?
- 3 подписчика
- 01 мая
- 355 просмотров
2

ответа
Node.js

+2 ещё

Простой
Как использовать https в node js express?
- 1 подписчик
- 01 мая
- 52 просмотра
1

ответ
Java

+1 ещё

Простой
Класс GuildChannel не найден в JDA. Что делать?
- 1 подписчик
- 01 мая
- 33 просмотра
0

ответов
Nginx

Средний
Как настроить все службы на сервере в своих каталогах через ssl с NGINX?
- 1 подписчик
- 30 апр.
- 67 просмотров
1

ответ
MySQL

+2 ещё

Сложный
Как пофиксить дедлоки и таймауты во время транзакций сохранения данных в базу при многопоточности от ForkJoinPool?
- 1 подписчик
- 28 апр.
- 194 просмотра
1

ответ
Java

+2 ещё

Простой
Как хранить изображения в PostgreSql?
- 1 подписчик
- 28 апр.
- 214 просмотров
2

ответа
Показать ещё Загружается…

Lead Java

Bell Integrator • Хабаровск

До 400 000 ₽

Lead Java

Bell Integrator • Ульяновск

До 400 000 ₽

Java-разработчик

ДАЛЕЕ

от 200 000 ₽

Перенести C# код программы на winapi

04 мая 2024, в 09:40

1000 руб./за проект

Десктопное приложение для алготрейдинга в сфере криптовалют

04 мая 2024, в 09:38

90000 руб./за проект

Написать SEO текст для встраивания в сайт

04 мая 2024, в 09:19

500 руб./за проект

так а в логах нг чего там?
Расширьте шифр:
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
Отладьте OSCP
Это самое печальное.. в логах NGINX вообще нет ничего.( Пока план попытаться wireshark использовать, но пока повторить не получается, не очень ясно что сможем узнать. Шифры попробуем расширить, спасибо.
вижу что они прислали лог что не могут получить доступ запросом проверки подлиности сертифаката и тут скорее всего раз в логах нг пусто то банит либо косячит центр сертификации. тут OSCP спасение
p4s8x: Андрей: разумеется, в логах веб-сервера ничего не будет, поскольку это jdk-шная ошибка и связана она с тем, что в кейсторе клиента нет соответствующего корневого сертификата.

Answer 1 · 2016-12-21 01:09:25

ky0 @ky0 Куратор тега Nginx

Миллиардер, филантроп, патологический лгун

Просто не нашёлся корневой сертификат. Пусть обновят jdk или просто возьмут кейстор посвежее, если обновить не получается.

Ответ написан более трёх лет назад

3 комментария

Nginx, SSLHandshakeException. Как победить?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт