Am 14.03.2017 um 16:11 schrieb Julia Nikolaeva:
Hallo, Leute,
Das Problem hat sich gelöst! Eine Mitarbeiterin vom Plesk Support konnte mir
helfen. Damit sich der nächste mit diesem Problem nicht so lange den Kopf
zerbrechen muss, hier die Lösung:
The issue is related to some blacklisted cipher suites enabled on the server.
See output of https://www.ssllabs.com/ssltest.
Server negotiated HTTP/2 with blacklisted suite. It means that browsers was not
able to connect by http2/TLS 1.2 using some cipher suite. It requires to
disable/modify some of them. The http/2 protocol requires TLS 1.2 encryption
with mandatory TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 cipher enabled. And
connection using another cipher suite will be resulted in SSL handshake error.
Generally the issue is that browser tries to connect using some blacklisted
cipher suite, that is why it does not show pages. So that is why it is
necessary to enable TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 cipher that it is
used for http2/TLS 1.2 connection.
Just modify "ssl_ciphers" directive in "/etc/nginx/conf.d/ssl.conf" file. After
that, recreate domain configuration files using the following command:
# /usr/local/psa/admin/bin/httpdmng --reconfigure-all
Viele Grüße aus Köln
Julia
Sollte da der Client nicht auch eine vernünftige Fehlermeldung ausgeben
und wieso ist plötzlich eine "/etc/nginx/conf.d/ssl.conf" im Spiel wenn
wir auf "httpd.apachae.org" sind?
https://www.ssllabs.com/ssltest/ sollte man regelmässig glaufen lassen
So in etwa sollte eine vernünftige ssl-config für den httpd aussehen
SSLProtocol All -SSLv2 -SSLv3
SSLFIPS Off
SSLCompression Off
SSLInsecureRenegotiation Off
SSLSessionTickets Off
SSLVerifyClient none
SSLHonorCipherOrder On
SSLCipherSuite
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:CAMELLIA128-SHA:CAMELLIA256-SHA:!LOW:!MEDIUM
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscr...@httpd.apache.org
For additional commands, e-mail: users-de-h...@httpd.apache.org