Не для всех работает протокол https. Как побороть?

Question

[Игорь]

Столкнулся с проблемой в процессе тестирования сайта. Установлен сертификат SSL. Я могу зайти через протокол HTTPS, однако некоторые пользователи этого сделать не могут и получают ERR_SSL_PROTOCOL_ERROR. Проблема, скорее всего, на моей стороне. С чего начать копать?
Спасибо!

Comments

[sim3x]

Смотреть в error log nginx

[Игорь]

Я новичок. Если не затруднит, это через SSH смотреть в логах?

[sim3x]

Игорь, по-дефолту
/var/log/nginx/error.log

[Игорь]

sim3x, файл пустой. Последний архив логов еще в сентябре, когда сервер только настраивался

[sim3x]

Игорь, если рядом нет архивов, то нужно выяснять со стороны пользователей
Что у них за ос/браузер/набор плагинов и пытаться повторить

[Игорь]

sim3x, здесь сложная ситуация. Это у Мегастока проблемы, что не могут зарегистрировать для платежной системы. Я заходил месяц назад из другого города. Была проблема, но решать было некогда. Мб с географией косяк, т.к. с Украины тоже зайти не могут...
Это не мб связано как-то с файлом .htaccess? Мб на него нужны какие-то права в особом виде?

[sim3x]

Игорь, а при чем nginx и htaccess?

[Игорь]

sim3x, просто уже не знал, за что хвататься)

Answer 1

[Андрей]

Скорее всего не могут зайти те у кого XP и всякие старые оси/браузеры.
Расширьте шрифты.

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

Comments

[CityCat4]

Божечки, ну так-то зачем?

kEECDH+AES:kEDH+AESGCM:kRSA+AES:kRSA+3DES+SHA:!aNULL:!DSS:!SSLv2

Как проверить какие шифронаборы поддерживает заданная строка:

# openssl ciphers -V 'kEECDH+AES:kEDH+AESGCM:kRSA+AES:kRSA+3DES+SHA:!aNULL:!DSS:!SSLv2'
          0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
          0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
          0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
          0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
          0xC0,0x14 - ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
          0xC0,0x0A - ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
          0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
          0xC0,0x2B - ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
          0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
          0xC0,0x23 - ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
          0xC0,0x13 - ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
          0xC0,0x09 - ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
          0x00,0x9F - DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(256) Mac=AEAD
          0x00,0x9E - DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(128) Mac=AEAD
          0x00,0x9D - AES256-GCM-SHA384       TLSv1.2 Kx=RSA      Au=RSA  Enc=AESGCM(256) Mac=AEAD
          0x00,0x3D - AES256-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA256
          0x00,0x35 - AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
          0x00,0x9C - AES128-GCM-SHA256       TLSv1.2 Kx=RSA      Au=RSA  Enc=AESGCM(128) Mac=AEAD
          0x00,0x3C - AES128-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA256
          0x00,0x2F - AES128-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1
          0x00,0x0A - DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1

[Андрей]

CityCat4, а вот затем.
потому что что ты дал там не всё. и я изначально так сделал и были проблемы как у автора.

[Игорь]

Андрей, я заходил из другого города. Там ось WIN7, браузер Хром. Так что не старое, это точно.
Проверил настройки SSL через сайт https://www.ssllabs.com/ssltest/
Там при проверке параметр "DNS CAA" имеет значение "No". Это важно?
Certificate - 100%
Protocol Support - 95%
Key Exchange - 90%
Cipher Strength - 90%

А по поводу расширения шрифтов.
В SSH выполнить команду

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

будет достаточно?

[Андрей]

Игорь, достаточно.

Там при проверке параметр "DNS CAA" имеет значение "No". Это важно?

Нет.

Certificate - 100%
Protocol Support - 95%
Key Exchange - 90%
Cipher Strength - 90%

всё нормально должно быть поидее.

Мало информациии надо смотреть логи nginx. не плохо бы знать что за сертификат вообще используется?

ещё

ERR_SSL_PROTOCOL_ERROR

может выдавать если не правильно время на компе выставлено.
антивирус блочить сертификат.
может (но очень редко) центр сертификации подвиснуть или дать блок за частым обращением к проверки действительности сертификата. Не понятно у вас OCSP используется?

[CityCat4]

Андрей, у меня проблемы? У меня не было. Я дал ровно столько, сколько было нужно мне. И даже еще вариант с DES-CBC3-SHA - про запас.

[Игорь]

Андрей, как я понимаю, OCSP используется:
Revocation information OCSP
OCSP: ocsp.int-x3.letsencrypt.org

Логи nginx пустые -это я уже посмотрел. Мб он просто не пишет ничего.. Или пишет не по дефолту? Как это выяснить? Сервер не я настраивал, но разгребать мне.
Сертификат RSA 2048 bits (SHA256withRSA)

Кстати, по протоколам так:
LS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
--- это важно?

[Андрей]

Кстати, по протоколам так:
LS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
--- это важно?

всё ок тут.

как я понимаю, OCSP используется:

ну .pem сертификат создавали?
покажите весь конфиг нгинкса головной и виртуального хоста.

[Игорь]

Андрей, выполнил nginx -V
Получилось так, оно?

--prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4-grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'

[Игорь]

Андрей, про .pem сертификат не знаю. У сервера виден только SSL-сертификат

[Игорь]

Андрей, я так понял, что не то дал. Есть файл /etc/nginx/nginx.conf
Там следующее:

user apache;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
include /usr/share/nginx/modules/*.conf;
events {
worker_connections 1024;
}
http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/vhosts/*/*.conf;
server {
server_name localhost;
disable_symlinks if_not_owner;
listen 80;
include /etc/nginx/vhosts-includes/*.conf;
location @fallback {
error_log /dev/null crit;
proxy_pass http://127.0.0.1:8080;
proxy_redirect 127.0.0.1:8080 /;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
access_log off ;
}
}
client_max_body_size 128m;
}

[Андрей]

Игорь, так это основной а настройки хоста где? в папке conf.d наверное
вот по этой строчке

worker_connections 1024;

мне уже стало сразу ясно что там не настроено ничего. Тупо дефолтовый конфиг для html сайта=)

[Игорь]

Андрей, нашел файл /etc/nginx/conf.d/rkn.conf
Оно ли?

server {
listen 89;
listen [::]:89;
server_name _;
root /var/www;
access_log /var/log/nginx/RKN.log;
location / {
return 301 http://localhost$request_uri;
}
}

server {
listen 90 ssl http2;
listen [::]:90 ssl http2;
server_name _;
root /var/www;
ssl_certificate "/etc/nginx/certs/uapp_rkn.crt";
ssl_certificate_key "/etc/nginx/certs/uapp_rkn.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
access_log /var/log/nginx/RKN_ssl.log;
location / {
return 301 https://localhost$request_uri;
}

[Андрей]

Игорь, да да оно.
вот и лог должен как раз сюда писаться как я вижу /var/log/nginx/RKN_ssl.log;
очень странно говорите выдаёт
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
а где строки тогда эти в конфиге?
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Панель исп манегер чтоли? она разбивает всё на миллион файлов. наверное ещё какой то файл есть..

А вот и 99.9% вот из за этих строк и не даёт входить всем:

ssl_ciphers HIGH:!aNULL:!MD5;

замени на:

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

и ребутни nginx

[Игорь]

Андрей, исп манегер есть.
Я сделал, у меня как работало так и работает. Попробую протестить из других локаций)

[Игорь]

Андрей, ошибка ERR_SSL_PROTOCOL_ERROR ушла, но появилась ERR)CONNECTION_REFUSED

[Андрей]

Игорь, iptables наверное блочит.

[Игорь]

Андрей, попробую разобраться с этим вопросом. Большое тебе спасибо!!!!