intermittent ssl_error_no_cypher_overlap

La semaine dernière, les clients ont reçu des erreurs périodiques au hasard ssl_error_no_cypher_overlap utilisant Firefox. Les problèmes de connexion sont également apparus dans Safari et Chrome. Je ne trouve aucun packages ni mises à jour de code survenus lorsque ce problème se produit.

Nous équilibrons la charge entre trois serveurs et tous les trois ont les mêmes versions. nignx (1.6.2-1.el5.ngx) et openssl (0.9.8e-32.el5_11), ainsi que la même configuration indiquant des protocoles et des chiffres. Prise en charge (Selon le recommandé Mozilla Configuration nginx).

Je ne sais pas ce qui manque ici.

Configuration nginx, Total pour tous les serveurs:

  ssl                 on;
ssl_certificate /etc/nginx/ssl/wildcard.pem;
ssl_certificate_key /etc/nginx/ssl/wildcard.key;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:50m;
ssl_protocols TLSv1;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

Dans nos magazines:

2015/01/21 11:16:05 [crit] 3428#0: *150887640 SSL_do_handshake() failed (SSL: error:1408A0D7:SSL routines:SSL3_GET_CLIENT_HELLO:required cipher missing) while SSL handshaking, client: *.*.*.*, server: 0.0.0.0:443
2015/01/21 11:17:34 [crit] 3429#0: *150929634 SSL_do_handshake() failed (SSL: error:1408A0D7:SSL routines:SSL3_GET_CLIENT_HELLO:required cipher missing) while SSL handshaking, client: *.*.*.*, server: 0.0.0.0:443
2015/01/21 11:18:23 [crit] 3434#0: *150952369 SSL_do_handshake() failed (SSL: error:1408A0D7:SSL routines:SSL3_GET_CLIENT_HELLO:required cipher missing) while SSL handshaking, client: *.*.*.*, server: 0.0.0.0:443
2015/01/21 11:18:23 [crit] 3434#0: *150952368 SSL_do_handshake() failed (SSL: error:1408A0D7:SSL routines:SSL3_GET_CLIENT_HELLO:required cipher missing) while SSL handshaking, client: *.*.*.*, server: 0.0.0.0:443
2015/01/21 11:18:30 [crit] 3428#0: *150955385 SSL_do_handshake() failed (SSL: error:1408A0D7:SSL routines:SSL3_GET_CLIENT_HELLO:required cipher missing) while SSL handshaking, client: *.*.*.*, server: 0.0.0.0:443
2015/01/21 11:18:43 [crit] 3433#0: *150961363 SSL_do_handshake() failed (SSL: error:1408A0D7:SSL routines:SSL3_GET_CLIENT_HELLO:required cipher missing) while SSL handshaking, client: *.*.*.*, server: 0.0.0.0:443
2015/01/21 11:18:53 [crit] 3428#0: *150965840 SSL_do_handshake() failed (SSL: error:1408A0D7:SSL routines:SSL3_GET_CLIENT_HELLO:required cipher missing) while SSL handshaking, client: *.*.*.*, server: 0.0.0.0:443

Et de jeûne sslscan:

  Supported Server Cipher(s):
Accepted TLSv1 256 bits DHE-RSA-AES256-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 128 bits DHE-RSA-AES128-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA

Prefered Server Cipher(s):
TLSv1 128 bits DHE-RSA-AES128-SHA
Invité:

Blanche

Confirmation de:

Beaucoup de chiffres (par exemple, GCM, SHA384 et EC), que vous spécifiez dans votre chaîne Cipher ne sont pas disponibles dans l'ancienne version OpenSSL, Que vous utilisez. Il n'y a que quelques chiffres. Les clients des entreprises sont souvent debout pour certains (Peut-être transparent) Server proxy effectuant une interception SSL (C'est l'attaque "homme au milieu") Analyser le contenu crypté pour des programmes malveillants. Dans ce cas, les chiffreurs disponibles ne sont pas déterminés par un navigateur, mais un proxy intercepté. Il se peut que plusieurs chiffres qui vous suggèrent ne soient tout simplement pas suffisants car ils ne sont pas pris en charge par le dispositif d'interception, entraînant

required cipher missing

.

Blanche

Confirmation de:

Le magazine montre que les clients essaient de se connecter à travers SSLv3 et ne peut pas parce que votre serveur ne prend pas en charge SSLv3. Cela peut être dû au fait qu'ils essaient TLSv1.2, alors TLSv1.1, puis aller à SSLv3, Parce que vous ne supportez pas TLSv1.1 ou 1.2.

Basculer votre propre

ssl_protocols

Ligne K.

TLSv1 TLSv1.1 TLSv1.2

.

Pour répondre aux questions, connectez-vous ou registre