subject:"Activer le SSL sur un port différent que le 443"

Re: Activer le SSL sur un port différent que le 443

2021-10-25 Par sujet Stephane Bortzmeyer

On Sat, Oct 23, 2021 at 05:25:41PM +0200,
 François TOURDE  wrote 
 a message of 17 lines which said:

> Je rajouterai une question:
> 
>   - Que dit curl (avec assez de -v pour qu'il soit bavard) ?

Oui, très important (on ne teste *pas* un problème HTTPS avec un
navigateur).

PS : SSL a été remplacé par TLS il y a 21 ans (certain·es abonné·es de
cette liste n'étaient pas encore né·es) et a été officiellement
abandonné il y a 6 ans .

Re: Activer le SSL sur un port différent que le 443

2021-10-23 Par sujet François TOURDE

Le 18923ième jour après Epoch,
f...@choulou.boxathome.net écrivait:

> Bonjour,
>
>
> Trois questions me viennent à l'esprit :
>
> - y-a-t-il un reverse proxy entre le serveur et le client ?
> - que donne le test avec un autre navigateur ?
> - que donnent les logs (à mettre en mode debug si possible) du serveur
> Web (et du reverse proxy s'il y en a un) ?

Je rajouterai une question:

  - Que dit curl (avec assez de -v pour qu'il soit bavard) ?

Re: Activer le SSL sur un port différent que le 443

2021-10-23 Par sujet f...@choulou.boxathome.net

Bonjour,


Trois questions me viennent à l'esprit :

- y-a-t-il un reverse proxy entre le serveur et le client ?
- que donne le test avec un autre navigateur ?
- que donnent les logs (à mettre en mode debug si possible) du serveur Web (et 
du reverse proxy s'il y en a un) ?



Le 22 octobre 2021 11:54:12 GMT+02:00, JUPIN Alain  a écrit :
>Bonjour,
>
>Le 22/10/2021 à 11:30, Greg a écrit :
>
>> pourquoi https en plus sur la ligne 8443 ? 
>
>En lisant ceci : https://httpd.apache.org/docs/2.4/fr/bind.html 
> section "Spécification 
>du protocole avec Listen" on y lit :
>
>/Dans la plupart des configurations, le second paramètre optionnel 
>protocol de la directive Listen n'est pas obligatoire. S'il n'est pas 
>spécifié, les protocoles par défaut sont https pour le port 443, et http 
>pour tous les autres ports. Le protocole sert à déterminer quel module 
>doit traiter une requête, et à appliquer les optimisations spécifiques 
>au protocole via la directive AcceptFilter.//
>//
>//Vous ne devez définir le protocole que si vous travaillez avec des 
>ports non standards. Par exemple, pour travailler en https sur le port 8443
>
>/Ceci expliquant donc le second paramètre https, mais si je le supprime, 
>cela ne résous pas mon problème pour autant (je l'avais ajouté justement 
>parce que je pensais que là était le hic)/
>
>/
>Alain JUPIN
>Lumières d'Ici ... et d'Ailleurs

Re: Activer le SSL sur un port différent que le 443

2021-10-22 Par sujet JUPIN Alain


Bonjour,

Le 22/10/2021 à 11:30, Greg a écrit :

pourquoi https en plus sur la ligne 8443 ? 


En lisant ceci : https://httpd.apache.org/docs/2.4/fr/bind.html 
 section "Spécification 
du protocole avec Listen" on y lit :


/Dans la plupart des configurations, le second paramètre optionnel 
protocol de la directive Listen n'est pas obligatoire. S'il n'est pas 
spécifié, les protocoles par défaut sont https pour le port 443, et http 
pour tous les autres ports. Le protocole sert à déterminer quel module 
doit traiter une requête, et à appliquer les optimisations spécifiques 
au protocole via la directive AcceptFilter.//

//
//Vous ne devez définir le protocole que si vous travaillez avec des 
ports non standards. Par exemple, pour travailler en https sur le port 8443


/Ceci expliquant donc le second paramètre https, mais si je le supprime, 
cela ne résous pas mon problème pour autant (je l'avais ajouté justement 
parce que je pensais que là était le hic)/


/
Alain JUPIN
Lumières d'Ici ... et d'Ailleurs

Re: Activer le SSL sur un port différent que le 443

2021-10-22 Par sujet Greg

Le Thu, 21 Oct 2021 18:43:45 +0200,
JUPIN Alain  a écrit :

> Dans ports.conf :
> Listen 80
> 
> 
>      Listen 443
>      Listen 8443 https
> 

pourquoi https en plus sur la ligne 8443 ?

Re: Activer le SSL sur un port différent que le 443

2021-10-22 Par sujet JUPIN Alain


Bonjour,

Merci pour la réponse

Le 21/10/2021 à 22:44, Philippe a écrit :

 SSLOptions +StrictRequire
 SSLCipherSuite 
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$

car ce sont elles qui posent le plus souvent problème. J'essayerais avec les 
suites cypher
les moins strictes possibles, puis je les restreindrais petit à petit.

Bonne pioche,

Ph. Gras

Je viens de (re)faire le test et cela donne toujours la même erreur : 
SSL_ERROR_RX_RECORD_TOO_LONG


Pour info j'ai essayé en laissant uniquement :
    SSLEngine on
    SSLCertificateFile 
/etc/letsencrypt/live/live.mondomaine.fr/cert.pem
    SSLCertificateKeyFile 
/etc/letsencrypt/live/live.mondomaine.fr/privkey.pem
    SSLCertificateChainFile 
/etc/letsencrypt/live/live.mondomaine.fr/chain.pem

et j'ai toujours la même erreur !

De même, j'ai tenté de déclaré le VirtualHost de cette façon : 
 sans plus d'effet !


Alain JUPIN
Lumières d'Ici ... et d'Ailleurs

Re: Activer le SSL sur un port différent que le 443

2021-10-21 Par sujet Philippe

Salut la liste !

Dans un cas comme celui-ci, je réessayerais en commentant ces instructions :

> SSLOptions +StrictRequire
> SSLCipherSuite 
> ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$

car ce sont elles qui posent le plus souvent problème. J'essayerais avec les 
suites cypher
les moins strictes possibles, puis je les restreindrais petit à petit.

Bonne pioche,

Ph. Gras

Activer le SSL sur un port différent que le 443

2021-10-21 Par sujet JUPIN Alain


Bonjour,

Sur une install Debian 10.11 (à jour) avec  Apache 2, j'ai un petit 
soucis avec SSL, que je veux faire écouter sur un port différent, le 
8443 au lieu du port standard (443).


Avec l'install de base, quand j'entre dans mon navigateur (Firefox), 
l'URL du site (sans spécification de port, donc le port standard 443), 
je tombe sur le "default-ssl", avec un certificat autosigné (donc 
Firefox rouspète un peu) jusque là OK.


Je configure mon VirtualHost :

    DocumentRoot /var/www/live/
    ServerName live.mondomaine.fr

    
    Options +FollowSymLinks
                AllowOverride All
                Order allow,deny
                Allow from All
    

    SSLEngine on
    SSLCertificateFile 
/etc/letsencrypt/live/live.mondomaine.fr/cert.pem
    SSLCertificateKeyFile 
/etc/letsencrypt/live/live.mondomaine.fr/privkey.pem
    SSLCertificateChainFile 
/etc/letsencrypt/live/live.mondomaine.fr/chain.pem

    SSLProtocol all -SSLv2 -SSLv3 +TLSv1.2 +TLSv1.3
    SSLHonorCipherOrder on
    SSLCompression off
    SSLOptions +StrictRequire
    SSLCipherSuite 
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$



Dans ports.conf :
Listen 80


    Listen 443
    Listen 8443 https



Je vérifie la config
# apachectl -t
Syntax OK

J'active le nouveau VirtualHost avec a2enssite

Je vais dans mon navigateur et que je demande l'URL 
https://live.mondomaine.fr:8443/ là j'ai droit à un 
SSL_ERROR_RX_RECORD_TOO_LONG

Le serveur écoute bien sur le port 8443, mais semble renvoyer du HTTP !

Si je désactive le default-ssl.conf, cela ne change absolument rien !
J'ai beau chercher et tourner les configs dans tous les sens, je passe a 
coté de quelque chose ... sans doute trivial !

Bref si vous avez une idée ?

--
Alain JUPIN
Lumières d'Ici ... et d'Ailleurs

Re: Activer le SSL sur un port différent que le 443

Re: Activer le SSL sur un port différent que le 443

Re: Activer le SSL sur un port différent que le 443

Re: Activer le SSL sur un port différent que le 443

Re: Activer le SSL sur un port différent que le 443

Re: Activer le SSL sur un port différent que le 443

Re: Activer le SSL sur un port différent que le 443

Activer le SSL sur un port différent que le 443

8 matches

Site Navigation

Mail list logo

Footer information