httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Julia Nikolaeva" <julia.nikol...@gmx.de>
Subject Aw: Re: Domains zu Websites auf vServer werden teilweise nicht aufgelöst
Date Tue, 14 Mar 2017 15:38:36 GMT
> Sollte da der Client nicht auch eine vernünftige Fehlermeldung ausgeben 
> und wieso ist plötzlich eine "/etc/nginx/conf.d/ssl.conf" im Spiel wenn 
> wir auf "httpd.apachae.org" sind?

Hi, Harald,

Der Client hat keinerlei Meldungen rausgegeben, der Browser hat einfach nicht auf Eingaben
reagiert. Auf SSL-Probleme war ich nicht gekommen. Ich hatte mich an die Hilfe zu Apache,
Plesk, meinem Hosting-Provider und noch einigen anderen gewandt, weil ich nicht wusste, wo
genau das Problem liegt.

Gruß

Julia


> Gesendet: Dienstag, 14. März 2017 um 16:28 Uhr
> Von: "Reindl Harald" <h.reindl@thelounge.net>
> An: users-de@httpd.apache.org
> Betreff: Re: Domains zu Websites auf vServer werden teilweise nicht aufgelöst
>
> 
> 
> Am 14.03.2017 um 16:11 schrieb Julia Nikolaeva:
> > Hallo, Leute,
> >
> > Das Problem hat sich gelöst! Eine Mitarbeiterin vom Plesk Support konnte mir helfen.
Damit sich der nächste mit diesem Problem nicht so lange den Kopf zerbrechen muss, hier die
Lösung:
> >
> > The issue is related to some blacklisted cipher suites enabled on the server. See
output of https://www.ssllabs.com/ssltest.
> > Server negotiated HTTP/2 with blacklisted suite. It means that browsers was not
able to connect by http2/TLS 1.2 using some cipher suite. It requires to disable/modify some
of them. The http/2 protocol requires TLS 1.2 encryption with mandatory TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
cipher enabled. And connection using another cipher suite will be resulted in SSL handshake
error. Generally the issue is that browser tries to connect using some blacklisted cipher
suite, that is why it does not show pages. So that is why it is necessary to enable TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
cipher that it is used for http2/TLS 1.2 connection.
> >
> > Just modify "ssl_ciphers" directive in "/etc/nginx/conf.d/ssl.conf" file. After
that, recreate domain configuration files using the following command:
> >
> > # /usr/local/psa/admin/bin/httpdmng --reconfigure-all
> >
> > Viele Grüße aus Köln
> > Julia
> 
> Sollte da der Client nicht auch eine vernünftige Fehlermeldung ausgeben 
> und wieso ist plötzlich eine "/etc/nginx/conf.d/ssl.conf" im Spiel wenn 
> wir auf "httpd.apachae.org" sind?
> 
> https://www.ssllabs.com/ssltest/ sollte man regelmässig glaufen lassen
> 
> So in etwa sollte eine vernünftige ssl-config für den httpd aussehen
> 
> SSLProtocol All -SSLv2 -SSLv3
> SSLFIPS Off
> SSLCompression Off
> SSLInsecureRenegotiation Off
> SSLSessionTickets Off
> SSLVerifyClient none
> SSLHonorCipherOrder On
> SSLCipherSuite 
> ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:CAMELLIA128-SHA:CAMELLIA256-SHA:!LOW:!MEDIUM
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
> For additional commands, e-mail: users-de-help@httpd.apache.org
> 
>

---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org


Mime
View raw message