1

Я размещаю несколько сайтов SSL на нескольких серверах Ubuntu / LAMP. Серверы имеют довольно стандартную настройку, например. нет конфигурации сертификата клиента на месте. Подавляющее большинство пользователей в порядке, но в настоящее время было два случая, когда определенный сертификат выдает ошибку на двух клиентских компьютерах (Vista и Windows 7). Я отладил случай с пользователем Vista, и это то, что я до сих пор:

  • проблема возникает только с определенным сертификатом *.domain.tld . Другие очень похожие сертификаты, обслуживаемые с того же сервера с точно такими же настройками, работают нормально. Другие сертификаты с других серверов (банки, Gmail и т.д.) Тоже работают нормально.

  • HTTP трафик на тот же сервер IP отлично работает.

  • проблема возникает по крайней мере в Firefox 35, Chrome 40 и IE (не указано).

  • Chrome выдает ошибку Проверка подлинности на основе сертификатов не удалась .

  • Firefox выдает ошибку ssl_error_access_denied_alert .

  • IE, естественно, дает какое-то неясное бормотание «веб-страница не может быть отображена».

  • На машине установлен Защитник Windows, брандмауэр Windows и версия F-Secure. Пытался отключить все это, не помогло.

  • Семейная безопасность не включена.

  • это не похоже на ошибку ЦС.

  • Это не похоже на ошибку, связанную с недействительными сертификатами сервера.

  • часы правильно установлены на обеих машинах

Мне кажется, что-то не так на клиентской машине. Что бы это могло быть? Неверная конфигурация, вредоносные программы, что-то еще?

Сетевой дамп показывает, что рукопожатие SSL не очень далеко: (это все пакеты, которые я видел на сервере)

сетевой дамп (Сайт обслуживается по стандартному порту 443 . Показанный здесь порт сервера 6443 соответствует стандарту 443 на брандмауэре.)

Еще одна вещь: в журнале сервера я видел несколько запросов HTTP (не HTTPS), поступающих с IP -адреса клиента с User-Agent: Microsoft Windows Network Diagnostics , а также один запрос без заголовка Host или User-Agent . Это произошло во время отладки по телефону с пользователем. Пользователь, безусловно, не сделал этот запрос вручную.

Еще одна вещь: клиент может успешно получить доступ к тем же сайтам с помощью HTTP.

|источник

0