httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Reindl Harald <h.rei...@thelounge.net>
Subject Re: Domains zu Websites auf vServer werden teilweise nicht aufgelöst
Date Tue, 14 Mar 2017 15:28:45 GMT


Am 14.03.2017 um 16:11 schrieb Julia Nikolaeva:
> Hallo, Leute,
>
> Das Problem hat sich gelöst! Eine Mitarbeiterin vom Plesk Support konnte mir helfen.
Damit sich der nächste mit diesem Problem nicht so lange den Kopf zerbrechen muss, hier die
Lösung:
>
> The issue is related to some blacklisted cipher suites enabled on the server. See output
of https://www.ssllabs.com/ssltest.
> Server negotiated HTTP/2 with blacklisted suite. It means that browsers was not able
to connect by http2/TLS 1.2 using some cipher suite. It requires to disable/modify some of
them. The http/2 protocol requires TLS 1.2 encryption with mandatory TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
cipher enabled. And connection using another cipher suite will be resulted in SSL handshake
error. Generally the issue is that browser tries to connect using some blacklisted cipher
suite, that is why it does not show pages. So that is why it is necessary to enable TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
cipher that it is used for http2/TLS 1.2 connection.
>
> Just modify "ssl_ciphers" directive in "/etc/nginx/conf.d/ssl.conf" file. After that,
recreate domain configuration files using the following command:
>
> # /usr/local/psa/admin/bin/httpdmng --reconfigure-all
>
> Viele Grüße aus Köln
> Julia

Sollte da der Client nicht auch eine vernünftige Fehlermeldung ausgeben 
und wieso ist plötzlich eine "/etc/nginx/conf.d/ssl.conf" im Spiel wenn 
wir auf "httpd.apachae.org" sind?

https://www.ssllabs.com/ssltest/ sollte man regelmässig glaufen lassen

So in etwa sollte eine vernünftige ssl-config für den httpd aussehen

SSLProtocol All -SSLv2 -SSLv3
SSLFIPS Off
SSLCompression Off
SSLInsecureRenegotiation Off
SSLSessionTickets Off
SSLVerifyClient none
SSLHonorCipherOrder On
SSLCipherSuite 
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:CAMELLIA128-SHA:CAMELLIA256-SHA:!LOW:!MEDIUM

---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org


Mime
View raw message