[Tech] Apache e mod_ssl non vanno

Mar 18 Set 2001 20:41:56 CEST

Allora.

Innanzitutto mi scuso con tutti se sto rompendo con questa cosa, ma e' 
veramente strana e non trovo niente che possa essermi di aiuto da 
nessuna parte. Cercando nelle varie ML e forum ho trovato altri messaggi 
di gente con il mio stesso problema tutti senza risposta.

Vi chiedo una mano, perche' non so che pesci pigliare e DEVO far 
funzionare questa cosa: ho premuto tanto per installare linux al posto 
di 2000, e ci farei una figura VERAMENTE brutta, io e linux, se non 
dovesse funzionare...

Allora, andiamo con ordine.

Ho un linux (RH 7.1) con:
apache 1.3.19-5
mod_ssl 2.8.1-5
openssl 0.9.6-9

E' un server che fa name-based virtual hosting. Su uno di questi siti 
deve girare SSL (magari potesse girare su tutti ognuno col suo 
certificato...).

Questa riga dovrebbe regolare le chiavi usate:
SSLCipherSuite 
ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

Ed e' la riga di default con il !EXPORT56 per il problema di IE.

Se provo a connettermi al server "a mano" con openssl ottengo questo:

[storm@rain storm]$ openssl ciphers
EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5:DHE-DSS-RC4-SHA:RC4-SHA:RC4-MD5:RC2-CBC-MD5:RC4-MD5:RC4-64-MD5:EXP1024-DHE-DSS-RC4-SHA:EXP1024-RC4-SHA:EXP1024-DHE-DSS-DES-CBC-SHA:EXP1024-DES-CBC-SHA:EXP1024-RC2-CBC-MD5:EXP1024-RC4-MD5:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-RC4-MD5:EXP-RC2-CBC-MD5:EXP-RC4-MD5
[storm@rain storm]$ openssl s_client -connect wind:443 -state -debug
CONNECTED(00000003)
SSL_connect:before/connect initialization
write to 0809CD58 [0809CDA0] (124 bytes => 124 (0x7C))
0000 - 80 7a 01 03 01 00 51 00-00 00 20 00 00 16 00 00   .z....Q... .....
0010 - 13 00 00 0a 07 00 c0 00-00 66 00 00 05 00 00 04   .........f......
0020 - 03 00 80 01 00 80 08 00-80 00 00 65 00 00 64 00   ...........e..d.
0030 - 00 63 00 00 62 00 00 61-00 00 60 00 00 15 00 00   .c..b..a..`.....
0040 - 12 00 00 09 06 00 40 00-00 14 00 00 11 00 00 08   ......@.........
0050 - 00 00 06 00 00 03 04 00-80 02 00 80 db 4d 18 be   .............M..
0060 - 58 3e 17 2f 98 cd 4b f5-e0 79 e3 c8 3e f6 86 35   X>./..K..y..>..5
0070 - a4 03 2e 65 df 28 fd 0b-5f d1 18 b2               ...e.(.._...
SSL_connect:SSLv2/v3 write client hello A
read from 0809CD58 [080A2300] (7 bytes => 7 (0x7))
0000 - 3c 21 44 4f 43 54 59                              <!DOCTY
SSL_connect:error in SSLv2/v3 read server hello A
2433:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown 
protocol:s23_clnt.c:460:

Se provo ad usare lo switch -ssl3 mi da un altro errore, se uso -ssl2 si 
pianta dopo il client hello A ...

Ovviamente non riesco ad aprirlo con niente, ne mozilla ne IE. 
PERO'...Un paio di miei amici con IE e netscape su Win98 vedono il sito 
tranquillamente......

Che fare?