URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 852
[ Назад ]

Исходное сообщение
"apache mod_ssl и IE 5.0"
Отправлено bass , 06-Ноя-02 14:44

apache_1.3.26
mod_ssl_2.8.9
поднял https на виртуальном хосте:
<VirtualHost webmail.mydomen.org:443>
ServerAdmin webmaster@mydomen.org
DocumentRoot /var/local/www-data/
ServerName www.mydomen.org
SSLEngine on
SSLCertificateFile /etc/ssl/certs/webssl.crt
SSLCertificateKeyFile /etc/ssl/private/webssl.key
SSLLogLevel warn
SSLOptions +StdEnvVars
SSLLog /var/log/apache/ssl_engine_log
ErrorLog /var/log/apache/webmail.error.log
TransferLog /var/log/apache/webmail.access.log
CustomLog /var/log/apache/webmail.ssl.log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
RewriteEngine On
RewriteOptions inherit
Options Indexes FollowSymLinks
</VirtualHost>
ну и заходим на него разными броузерами:
mozilla, netscape, opera - OK
по дефолту встроенные броузеры в w2k c sp2 и sp3 - OK
по дефолту в winXP - OK
но win98.se c его родным MSIE 5.00.xxx-xx гле ключ стойкости 40 говорит: "Невозможно отобразить страницу"
Вопросы:
1.Для этой категории броузеров нужен менее защищённый ключ?
2.Если сгенерить менее стойкий ключ как их подсунуть именно этой категории броузеров?
(игры с SSLCipherSuite LOW:HIGH провалились)
3.Как настроить апач под такие броузеры?
( подсмотренное в документации про проблемы с MSIE не помогает:
BrowserMatch "MSIE 5\.0;" nokeepalive downgrade-1.0 force-response-1.0
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
)
ключ с сертификатом самоподписанные, сгенерённые:
openssl req -x509 -newkey rsa:1024 -keyout serv.key -out serv.crt -days 365 -nodes
des также был опробован
ругань броузеров на неподписанный сертификат некритична.
советы обновить броузеры не рассматриваю :)
Ваше мнение?

Содержание

RE: apache mod_ssl и IE 5.0,bass, 14:47 , 06-Ноя-02
RE: apache mod_ssl и IE 5.0,uldus, 16:30 , 06-Ноя-02
- RE: apache mod_ssl и IE 5.0,bass, 06:20 , 10-Ноя-02
  - RE: apache mod_ssl и IE 5.0,bass, 07:08 , 10-Ноя-02

Сообщения в этом обсуждении

"RE: apache mod_ssl и IE 5.0"
Отправлено bass , 06-Ноя-02 14:47

да забыл добавить:
в логах апача полная тишинаm, если коннектится машина с броузером MSIE 5.0.
анализ через etherеal даёт практически идентичную картину при коннекте с MSIE 5.0 и MSIE 5.5 (последний https отрабатывает ОК)

"RE: apache mod_ssl и IE 5.0"
Отправлено uldus , 06-Ноя-02 16:30

>1.Для этой категории броузеров нужен менее защищённый ключ?
См. http://www.opennet.me/base/dev/ie_ssl_bug.txt.html
У меня в VirtualHost прописано так, глюков не замечал:
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0

"RE: apache mod_ssl и IE 5.0"
Отправлено bass , 10-Ноя-02 06:20

>>1.Для этой категории броузеров нужен менее защищённый ключ?
>
>См. http://www.opennet.me/base/dev/ie_ssl_bug.txt.html
>
>У меня в VirtualHost прописано так, глюков не замечал:
>SSLEngine on
>SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
>
>SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
Не помогает. Точная версия тестируемого MSIE 5.00.2614.3500. Однако на другие сайты с ssl он ходит...
версии libssl_0.9.6g и openssl_0.9.6g, но врядли это из-за них.
Уж просто не знаю что и думать...

"RE: apache mod_ssl и IE 5.0"
Отправлено bass , 10-Ноя-02 07:08

Проблема решена.
Вот:
SSLProtocol all -SSLv3
SSLCipherSuite !EXP1024-RC4-SHA:!EXP1024-DES-CBC-SHA:
ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
Вообщем иногда "метод тыка" рулит, особенно если 0 логов по проблеме :)