Re: Domains zu Websites auf vServer werden teilweise nicht aufgelöst

Tue, 14 Mar 2017 08:29:04 -0700 


Am 14.03.2017 um 16:11 schrieb Julia Nikolaeva:

Hallo, Leute,

Das Problem hat sich gelöst! Eine Mitarbeiterin vom Plesk Support konnte mir 
helfen. Damit sich der nächste mit diesem Problem nicht so lange den Kopf 
zerbrechen muss, hier die Lösung:

The issue is related to some blacklisted cipher suites enabled on the server. 
See output of https://www.ssllabs.com/ssltest.
Server negotiated HTTP/2 with blacklisted suite. It means that browsers was not 
able to connect by http2/TLS 1.2 using some cipher suite. It requires to 
disable/modify some of them. The http/2 protocol requires TLS 1.2 encryption 
with mandatory TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 cipher enabled. And 
connection using another cipher suite will be resulted in SSL handshake error. 
Generally the issue is that browser tries to connect using some blacklisted 
cipher suite, that is why it does not show pages. So that is why it is 
necessary to enable TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 cipher that it is 
used for http2/TLS 1.2 connection.

Just modify "ssl_ciphers" directive in "/etc/nginx/conf.d/ssl.conf" file. After 
that, recreate domain configuration files using the following command:

# /usr/local/psa/admin/bin/httpdmng --reconfigure-all

Viele Grüße aus Köln
Julia



Sollte da der Client nicht auch eine vernünftige Fehlermeldung ausgeben 
und wieso ist plötzlich eine "/etc/nginx/conf.d/ssl.conf" im Spiel wenn 
wir auf "httpd.apachae.org" sind?


https://www.ssllabs.com/ssltest/ sollte man regelmässig glaufen lassen

So in etwa sollte eine vernünftige ssl-config für den httpd aussehen

SSLProtocol All -SSLv2 -SSLv3
SSLFIPS Off
SSLCompression Off
SSLInsecureRenegotiation Off
SSLSessionTickets Off
SSLVerifyClient none
SSLHonorCipherOrder On

SSLCipherSuite 
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:CAMELLIA128-SHA:CAMELLIA256-SHA:!LOW:!MEDIUM


---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscr...@httpd.apache.org
For additional commands, e-mail: users-de-h...@httpd.apache.org























					Antwort per Email an