ERR_SSL_PROTOCOL_ERROR bare for noen brukere (nodejs, express)

stemmer
2

Bare noen (ikke alle) brukere mottar ERR_SSL_PROTOCOL_ERROR i Chrome når de prøver å besøke ekspressstedet mitt. Jeg mottar ikke denne feilen, så det er et vondt å feilsøke.

Jeg oppretter en https-server ved å bruke en PFX-fil jeg lastet ned fra leverandøren min (1 & 1):

var options = {
  pfx: fs.readFileSync('./mysite_private_key.pfx'),
  passphrase: 'MYPASSPHRASE',
};
https.createServer(options, app).listen(443); 

https://whatsmychaincert.com forteller meg at kjeden er riktig, men klager over håndtrykket:

[mysite] har riktig kjede.

[mysite]: TLS-håndtrykkfeil: feil: 14077438: SSL-rutiner: SSL23_GET_SERVER_HELLO: tlsv1 varsling intern feil SSL Labs kan kanskje fortelle deg hva som gikk galt

Jeg har googlet dette uten å lykkes, vet noen hva problemet kan være? Ty.

Publisert på 26/05/2020 klokken 13:46
kilden bruker
På andre språk...                            


2 svar

stemmer
0

En mulig kilde til mislykket håndtrykk kan være mangelen på et mellombevis, ca alternativet tls.createSecureContext . Det bør offentliggjøres på leverandørens nettsted.

Håper dette hjelper.

Svarte 07/06/2020 kl. 01:10
kilden bruker

stemmer
0

i dag, når serveren vår (f.eks. 1 og 1) er konfigurert sikkert, støttes bare tls v1.2 og tls v1.3 ..

så hvordan du feilsøker dette:

  • skann nettstedet ditt med SSL Labs Test også for å se hvilke chiffer som støttes, eller alternativt se i nginx / apache config

  • tail -f serverloggene, spesielt catchall / other_vhosts-loggfiler, siden ssl-protokollfeil kan være i nettstedloggene og den generiske fangstloggen når serveren ikke kan bestemme navnet

  • prøv å oppdatere brukerens krom for å støtte minst tls 1.2

    chrome har noen kommandolinjebrytere for å endre chifferatferden:

    • --ssl-version-max Angir den maksimale SSL / TLS-versjonen ("tls1.2" eller "tls1.3"). ↪
    • --ssl-version-min Angir minimum SSL / TLS-versjonen ("tls1", "tls1.1", "tls1.2" eller "tls1.3"). ↪

FARESONE:

  • som siste utvei kan du prøve å akseptere eldre sifre i nginx-konfigurasjonen ( ssl_ciphers direktiv) som socat OR (aller siste utvei) socat23 for å sjekke hvilken versjon kundene dine støtter,

husk å deaktivere alt under tls v1.2 i produksjonsmiljø

Svarte 07/06/2020 kl. 15:57
kilden bruker

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more