ERR_SSL_PROTOCOL_ERROR alleen voor sommige gebruikers (nodejs, express)

stemmen
2

Slechts enkele (niet alle) gebruikers ontvangen ERR_SSL_PROTOCOL_ERROR in Chrome wanneer ze proberen mijn express site te bezoeken. Ik ontvang deze foutmelding niet, dus het blijkt een probleem te zijn om te debuggen

Ik maak een https-server aan met behulp van een PFX-bestand dat ik heb gedownload van mijn provider (1&1):

var options = {
  pfx: fs.readFileSync('./mysite_private_key.pfx'),
  passphrase: 'MYPASSPHRASE',
};
https.createServer(options, app).listen(443); 

https://whatsmychaincert.com vertelt me dat de ketting correct is, maar klaagt over de handdruk:

[mijzelf] heeft de juiste ketting.

[mijzelf]: TLS handdruk fout: fout:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 waarschuwing interne fout SSL Labs kunnen u misschien vertellen wat er mis is gegaan

Ik heb dit gegoogled zonder succes, weet iemand wat het probleem zou kunnen zijn? Ty.

De vraag is gesteld op 26/05/2020 om 13:46
bron van user
In andere talen...                            


2 antwoorden

stemmen
0

Een mogelijke bron van mislukte handdruk kan het ontbreken van een tussentijds certificaat zijn, caoptie van tls.createSecureContext. Het moet door het publiek op de website van uw provider.

Ik hoop dat dit helpt.

antwoordde op 07/06/2020 om 01:10
bron van user

stemmen
0

tegenwoordig, wanneer onze server (bijv. 1&1) veilig geconfigureerd is, worden alleen tls v1.2 en tls v1.3 ondersteund ...

dus hoe je dit debugt:

  • scan uw site met SSL Labs Test ook om te zien welke cijfers worden ondersteund, of zie afwisselend in onze nginx/apache-configuratie

  • tail -f de server logs , vooral de catchall/andere_vhosts logbestanden , aangezien ssl protocolfouten in de site logs en de generieke catchall log kunnen zitten wanneer de server niet kan beslissen over de naam

  • proberen de gebruikers chroom te updaten om ten minste tls 1.2 te ondersteunen

    chroom heeft de een of andere commandoregelschakelaar om het codeergedrag te veranderen:

    • --ssl-version-max Geeft de maximale SSL/TLS-versie aan ("tls1.2" of "tls1.3"). ↪
    • --ssl-version-min Specificeert de minimale SSL/TLS-versie ("tls1", "tls1.1", "tls1.2" of "tls1.3"). ↪

DANGER ZONE:

  • als laatste redmiddel kunt u proberen om legacy cijfers te accepteren in uw nginx-config ( ssl_ciphersrichtlijn) zoals socat OR (allerlaatste redmiddel) socat23 om te controleren welke versie uw klanten ondersteunen,

vergeet niet om alles onder tls v1 uit te schakelen. 2 in productie omgeving

antwoordde op 07/06/2020 om 15:57
bron van user

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more