Как исправить SSL_ERROR_ACCESS_DENIED_ALERT на стороне сервера?

Question

[AdNahim]

Примерно раз в месяц получаю жалобы от клиентов, что сайт не открывается.
Путём долгих переговоров удалось получить у одного из них скриншот )

Как оказалось Фаерфокс у клиента пишет - SSL_ERROR_ACCESS_DENIED_ALERT

Из причин нагуглить удалось dr.Web и сам браузер, но все проблемы эти на стороне клиента (браузера). Но, всех клиентов с dr.web не отловить ) хотелось бы как-то решить проблему на стороне сайта.

Что может вызывать такую ошибку и как её побороть? Воспроизвести не удалось. Сертификат стоит от Let's Encrypt

Answer 1

[Stalker_RED]

https://support.drweb.ru/new/urlfilter/

Answer 2

[Александр]

Сталкивался с подобным поведением с Авастом и Касперским. Надо отключать проверку SSL на антивирусах.
Уши с ногами растут из за подмены сертификата антивирусами, было такое. При активном режиме антивирус хочет сканировать страницы интернет, но если они зашифрованы то он это сделать не сможет. Тут два выхода: делать антивирусу SSL-микро-прокси-сервер и\или внедрять расширение под браузер.

Мое мнение: Это не твои проблемы, а,например, жадных людей которые ставят ломаные антивирусы )))
Предлагать клиентам вносить твой сайт в белый список.

решить проблему на стороне сайта

Как то проверять клиента на возможность https соединения. Например через iframe. В http вставляем https. Если возвращается не то что надо значит рисуем страницу http что клиенту надо обновить антивирус. Но там с Хедерами придется извращаться, проще забить на таких клиентов. ))) Зачем тебе такой геморрой? )))

Более сложная ситуация - ворованный Видоуз )))

Comments

[Alex Wells]

Чем ворованный антивирус отличается от не ворованного?) И, тем более, чем ворованный виндоус отличается от не ворованного?)

[Александр]

Alex Wells,
Обновлениями ядра. Мало обновить базы сигнатур вирусов, надо обновлять еще корневые сертификаты. Это касается и Видоуз.

[Alex Wells]

Александр, к ССЛ это отношения не имеет никакого. Базы сигнатур не влияют на проверку целостности SSL.

[Александр]

Alex Wells,
Базы сигнатур не влияют - конечно.
Но обновление ядра антивируса - могут иметь. Например, смена корневого сертификата приводит к смене публичного сертификата, а люди не могут обновить. иначе фейк-ключик слетит. И как следствие в браузере подменяется не действующий открытый сертификат.