Телеграмм чат группы ru_devops страница 6624

* Connected to example.com (1.2.3.4) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* error:1408F10B:SSL routines:ssl3_get_record:wrong version number
* Closing connection 0
curl: (35) error:1408F10B:SSL routines:ssl3_get_record:wrong version number

источник

20:18пожаловаться #6

Artyom Abramovich in DevOps

куда копать?

источник

20:18пожаловаться #7

Artyom Abramovich in DevOps

# openssl s_client -connect 127.0.0.1:443 -servername example.com
CONNECTED(00000003)
139863752841024:error:1408F10B:SSL routines:ssl3_get_record:wrong version number:ssl/record/ssl3_record.c:332:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 317 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---

источник

20:18пожаловаться #8

Artyom Abramovich in DevOps

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_protocols TLSv1.2;
ssl_ciphers EECDH+AESGCM:EECDH+AES;
ssl_ecdh_curve secp384r1;
ssl_prefer_server_ciphers on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;

тут ничего не менялось

источник

20:23пожаловаться #9

M Dan in DevOps

слушай я может пес, а можешь просто курлом с vvv пнуть

источник

20:36пожаловаться #10

M Dan in DevOps

опенссл вывод что-то мне неясен

источник

20:36пожаловаться #11

n🐈

nikoinlove 🐈 in DevOps

и openssl ciphers -v 'EECDH+AESGCM:EECDH+AES' заодно

источник

20:38пожаловаться #12

Artyom Abramovich in DevOps

M Dan

слушай я может пес, а можешь просто курлом с vvv пнуть

это он и есть в 1-м сообщении

источник

20:45пожаловаться #13

Artyom Abramovich in DevOps

nikoinlove 🐈

и openssl ciphers -v 'EECDH+AESGCM:EECDH+AES' заодно

источник

20:46пожаловаться #14

n🐈

nikoinlove 🐈 in DevOps

а нжинкс с ним слинкован?)

источник

20:47пожаловаться #15

n🐈

nikoinlove 🐈 in DevOps

а путь к сертификату существует?)

источник

20:47пожаловаться #16

Artyom Abramovich in DevOps

nginx version: nginx/1.17.9
built by gcc 8.2.1 20180905 (Red Hat 8.2.1-3) (GCC) 
built with OpenSSL 1.1.1 FIPS  11 Sep 2018 (running with OpenSSL 1.1.1c FIPS  28 May 2019)

TLS SNI support enabled

источник

20:47пожаловаться #17

Artyom Abramovich in DevOps

nikoinlove 🐈

а путь к сертификату существует?)

к какому? nginx -t не прошел бы же ж

источник

20:47пожаловаться #18

n🐈

nikoinlove 🐈 in DevOps

тогда показывай весь конфиг :P

источник

20:49пожаловаться #19

George Gaál in DevOps

Sni не серит?

источник

20:49пожаловаться #20