ERR_SSL_PROTOCOL_ERROR numai pentru unii utilizatori (nodejs, express)

voturi
2

Doar unii (nu toți) utilizatorii primesc ERR_SSL_PROTOCOL_ERROR în Chrome când încearcă să viziteze site-ul meu expres. Nu primesc această eroare, astfel încât se dovedește o durere de depanare.

Creez un server https folosind un fișier PFX pe care l-am descărcat de la furnizorul meu (1 & 1):

var options = {
  pfx: fs.readFileSync('./mysite_private_key.pfx'),
  passphrase: 'MYPASSPHRASE',
};
https.createServer(options, app).listen(443); 

https://whatsmychaincert.com îmi spune că lanțul este corect, dar se plânge de strângerea de mână:

[mysite] are lanțul corect.

[mysite]: eroare de strângere de mână TLS: eroare: 14077438: rutine SSL: SSL23_GET_SERVER_HELLO: alertă tlsv1 eroare internă Laboratoarele SSL ar putea să vă spună ce a mers greșit

Am mers cu asta fără succes, știe cineva care ar putea fi problema? Multumesc.

Întrebat 26/05/2020 la 13:46
sursa de către utilizator
În alte limbi...                            


2 răspunsuri

voturi
0

O posibilă sursă de strângere de mână eșuată ar putea fi lipsa unui certificat intermediar, ca opțiune de tls.createSecureContext . Ar trebui publicat pe site-ul web al furnizorului dumneavoastră.

Sper că acest lucru vă ajută.

Publicat 07/06/2020 la 01:10
sursa de către utilizator

voturi
0

în prezent, când serverul nostru (de ex. 1 și 1) este configurat în siguranță, sunt acceptate doar tls v1.2 și tls v1.3 ..

deci cum depanați acest lucru:

  • scanează- ți site-ul cu teste Laborator SSL, vezi și ce cifre sunt acceptate sau vezi alternativ în configurația noastră nginx / apache

  • tail -f jurnalele serverului, în special fișierele jurnal catchall / other_vhosts, deoarece erorile de protocol ssl pot fi în jurnalele site-ului și în jurnalul catchall generic atunci când serverul nu poate decide cu privire la nume

  • încercați să actualizați utilizatorii chrome pentru a suporta cel puțin tls 1.2

    chrome are unele comutatoare de linie de comandă pentru a schimba comportamentul de cifrare:

    • --ssl-version-max Specifică versiunea maximă SSL / TLS ("tls1.2" sau "tls1.3"). ↪
    • --ssl-version-min Specifică versiunea minimă SSL / TLS ("tls1", "tls1.1", "tls1.2" sau "tls1.3"). ↪

ZONA PERICULOASĂ:

  • ca ultimă soluție, puteți încerca să acceptați cifrele vechi în nginx-config ( ssl_ciphers directivă) cum ar fi socat SAU (ultimul recurs) socat23 pentru a verifica ce versiune acceptă clienții dvs.,

amintiți-vă să dezactivați tot ceea ce este sub tls v1.2 în mediul de producție

Publicat 07/06/2020 la 15:57
sursa de către utilizator

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more