ERR_SSL_PROTOCOL_ERROR apenas para alguns utilizadores (nodejs, expresso)

votos
2

Apenas alguns (não todos) utilizadores estão a receber ERR_SSL_PROTOCOL_ERROR no Chrome ao tentarem visitar o meu site expresso. Eu não estou a receber este erro, por isso está a revelar-se uma dor para depurar

Estou criando um servidor https usando um arquivo PFX que baixei do meu provedor (1&1):

var options = {
  pfx: fs.readFileSync('./mysite_private_key.pfx'),
  passphrase: 'MYPASSPHRASE',
};
https.createServer(options, app).listen(443); 

https://whatsmychaincert.com me diz que a corrente está correta, mas reclama do aperto de mão:

[mysite] tem a cadeia correta.

[mysite]: Erro no aperto de mão do TLS: error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert erro interno Os Laboratórios SSL podem ser capazes de lhe dizer o que correu mal

Eu pesquisei isto no Google sem sucesso, alguém sabe qual poderia ser o problema? Ty.

Publicado 26/05/2020 em 13:46
fonte usuário
Em outras línguas...                            


2 respostas

votos
0

Uma possível fonte de aperto de mão falhado pode ser a falta de um certificado intermediário, caopção de tls.createSecureContext. Deve ser divulgado publicamente no site do seu fornecedor.

Espero que isto ajude.

Respondeu 07/06/2020 em 01:10
fonte usuário

votos
0

hoje em dia , quando o nosso servidor (por exemplo 1&1) está configurado com segurança , apenas o tls v1.2 e o tls v1.3 são suportados ...

então como você depura isto:

  • faça um scan ao seu site com o SSL Labs Test também veja quais as cifras suportadas , ou alternativamente veja na nossa configuração nginx/apache

  • tail -f os logs do servidor , especialmente os arquivos de log catchall/other_vhosts,já que os erros de protocolo ssl podem estar nos logs do site e no log genérico catchall quando o servidor não consegue decidir o nome

  • tente atualizar o cromado dos usuários para suportar pelo menos tls 1.2

    cromo tem alguns interruptores de linha de comando para mudar o seu comportamento de cifra:

    • --ssl-version-max Especifica a versão máxima SSL/TLS ("tls1.2" ou "tls1.3"). ↪
    • --ssl-version-min Especifica a versão mínima SSL/TLS ("tls1", "tls1.1", "tls1.2", ou "tls1.3"). ↪

ZONA PERIGOSA:

  • como último recurso você poderia tentar aceitar cifras legadas no seu nginx-config ( ssl_ciphersdiretiva) como socat OU (muito último recurso) socat23 para verificar qual versão seus clientes suportam,

lembre-se de desactivar tudo o que estiver abaixo do tls v1. 2 em produção ambiente

Respondeu 07/06/2020 em 15:57
fonte usuário

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more