█ 22.01.2015 22:12
, что KB931125 решает проблему
Проверю завтра.
Проверю завтра.
█ 22.01.2015 22:28
Сомнительно :( Судя по декабрьской статистике, потеря приблизительно 3% посетителей.
█ 22.01.2015 22:43
Не помогло (проверил в Virtual PC).
Хотя - в доверенных центрах сертификации есть сертификат от StartCom
CN = StartCom Certification Authority
OU = Secure Digital Certificate Signing
O = StartCom Ltd.
C = IL
Хотя - в доверенных центрах сертификации есть сертификат от StartCom
CN = StartCom Certification Authority
OU = Secure Digital Certificate Signing
O = StartCom Ltd.
C = IL
█ 22.01.2015 23:18
На всякий случай оставлю - вдруг поможет
Запрос в google:
Nginx TLS_RSA_WITH_3DES_EDE_CBC_SHA
Как вариант
Запрос в google:
Nginx TLS_RSA_WITH_3DES_EDE_CBC_SHA
Как вариант
Цитата:
Вопрос:
I have a few users that are having issues with my website now that I disabled SSLv3. Turns out the only cipher that would/should work with XP/IE8 is TLS1.0: "TLS_RSA_WITH_3DES_EDE_CBC_SHA" (there are two RC4's that also work, but I understand that is really not recommended).
Can anyone tell me how to add this to my ssl_ciphers? (I don't fully understand the shorthand in the list.)
I see that, based on a recommendation, I do have "!3DES" in the list.
If anyone has any other recommendations to support XP/IE8 with TLS1.0 in the most secure manner, I appreciate all feedback!
Also, if I put this one last in the list, can I assume it will be the least preferred by nginx?
Ответ:
Works with IE7/xp, sslabs is ok with this as well.
I have a few users that are having issues with my website now that I disabled SSLv3. Turns out the only cipher that would/should work with XP/IE8 is TLS1.0: "TLS_RSA_WITH_3DES_EDE_CBC_SHA" (there are two RC4's that also work, but I understand that is really not recommended).
Can anyone tell me how to add this to my ssl_ciphers? (I don't fully understand the shorthand in the list.)
I see that, based on a recommendation, I do have "!3DES" in the list.
If anyone has any other recommendations to support XP/IE8 with TLS1.0 in the most secure manner, I appreciate all feedback!
Also, if I put this one last in the list, can I assume it will be the least preferred by nginx?
Ответ:
Код:
ssl_prefer_server_ciphers On; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!eNULL:!MD5:!DSS;
█ 23.01.2015 07:42
Нене, дело не в правильности сертификата.
Все известные мне бесплатные сертификаты подразумевают один включенный домен.
SNI, грубо говоря - умение браузера сказать по SSL к какому именно домену он пришел.
Таким образом, вламываясь по IP, где несколько серверов, он получает не тот сертификат с большой степенью вероятности. Облом.
Все известные мне бесплатные сертификаты подразумевают один включенный домен.
SNI, грубо говоря - умение браузера сказать по SSL к какому именно домену он пришел.
Таким образом, вламываясь по IP, где несколько серверов, он получает не тот сертификат с большой степенью вероятности. Облом.
█ 23.01.2015 10:34
Весьма вероятно, что я совсем не прав - я в этом не разбираюсь от слова "вовсе" 
Просто объясню свою "логику":
1) Читаю
2) olegon.ru
3) konklone.com
4) Смотрю разницу - вижу именно TLS_RSA_WITH_3DES_EDE_CBC_SHA для WinXp/IE8
5) Высказываюсь
Просто объясню свою "логику":
1) Читаю
2) olegon.ru
3) konklone.com
4) Смотрю разницу - вижу именно TLS_RSA_WITH_3DES_EDE_CBC_SHA для WinXp/IE8
5) Высказываюсь
█ 23.01.2015 12:03
Да в принципе, не стоит заморачиваться если это так сложно(затратно?)... Просто нужно как-то обработать ситуацию, например выводить сообщение - "Ваш браузер больше не поддерживается!". А то, сейчас просто пишет что сайт не доступен, без объяснения причины... Что тут можно подумать? Что он просто лежит, или адрес корявый... То, что нужно зайти другим браузером, приходит в голову только когда уже знаешь, что сайт работает и не мог так в одночасье пропасть... А новые пользователи, скорее всего просто плюнут, забудут:(
█ 23.01.2015 12:18
Я в это разбираюсь от слова "мало" :) Потому сначала заподозрил немного другое. Вот как раз это самое шифрование. Сейчас я его поставил, чтобы разницы не было. Однако IE от этого не заработал?
Упростим, у меня сейчас два сертификата:
1. (storage.olegon.ru и olegon.ru) (по умолчанию)
2. ( и inima.ru)
на самом деле там еще пара сертификатов, но не будем путаться. При этом, включена расширенная безопасность, сообщающая, что на olegon.ru и inima.ru (и все поддомены) можно сразу идти по https. Достаточно хоть один раз сходить браузером на основной домен, как браузер откажется на любой из поддоменов ходить по http. Я себе так статистику внутреннюю сломал, тоже пришлось сертификат делать.
Что делает браузер без SNI - получает первый сертификат (по умолчанию). В случае с inima - обламывается, потому, что шел на один хост, а пришел сертификат на другой (веб-серверу не сказал, куда идет). Вот в случае с IE я пока ничего не понимаю, по идее, он должен ходить на olegon и не должен - на inima, почему он и на olegon не попадает - загадка.
Упростим, у меня сейчас два сертификата:
1. (storage.olegon.ru и olegon.ru) (по умолчанию)
2. ( и inima.ru)
на самом деле там еще пара сертификатов, но не будем путаться. При этом, включена расширенная безопасность, сообщающая, что на olegon.ru и inima.ru (и все поддомены) можно сразу идти по https. Достаточно хоть один раз сходить браузером на основной домен, как браузер откажется на любой из поддоменов ходить по http. Я себе так статистику внутреннюю сломал, тоже пришлось сертификат делать.
Что делает браузер без SNI - получает первый сертификат (по умолчанию). В случае с inima - обламывается, потому, что шел на один хост, а пришел сертификат на другой (веб-серверу не сказал, куда идет). Вот в случае с IE я пока ничего не понимаю, по идее, он должен ходить на olegon и не должен - на inima, почему он и на olegon не попадает - загадка.
█ 23.01.2015 12:21
Цитата:
Проблема в том, что обрыв связи идет еще до того, как я могу что-то предпринять. Т.е. браузер лезет на 80 порт, тут я не могу еще определить, есть у него SNI или нет. Перебрасываю на 443 порт, где SSL, включаются механизмы безопасности, и во время handshake браузер внезапно забывает, куда шел. Ему отдается сертификат по умолчанию, после чего - разрыв связи. Я так понимаю. MWWRuza ➤ Да в принципе, не стоит заморачиваться если это так сложно(затратно?)... Просто нужно как-то обработать ситуацию, например выводить сообщение - "Ваш браузер больше не поддерживается!".
█ 23.01.2015 12:29
Сейчас у меня и olegon.ru и inima.ru - открываются в XP/IE8
Часовой пояс GMT +3, время: 10:58.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.