Letsencrypt ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Я создал сертификат letsencrypt для своего сайта.
Я установил сертификат с этой командой для моего поддомена, указывающего на другой компьютер
sudo ./certbot-auto certonly --standalone --email [email protected] --agree-tos --rsa-key-size 4096 -d www.ns-dev01.qubyk.com
Ниже приведены свойства в spring boot properties.yml.
spring:
application:
name: test-sever
server:
port: 443
ssl:
key-store: /etc/letsencrypt/live/www.ns-dev01.qubyk.com/keystore.p12
key-store-password: testpassword
enabled: true
key-store-type: PKCS12
key-alias: tomcat
security:
require-ssl: true
Доступ к сайту в Chrome возвращает
www.ns-dev01.qubyk.com uses an unsupported protocol. ERR_SSL_VERSION_OR_CIPHER_MISMATCH
В сафари работает без ошибок. Что мне здесь не хватает?
Я попытался добавить шифр, как показано ниже, но это выдает ex Ни один из указанных [шифров] не поддерживается сервером механизма SSL.
На какой версии и типе Java (Oracle / Sun, IBM, дистрибутив, другое) вы работаете и были ли внесены какие-либо изменения в его конфигурацию безопасности?
Я использую весеннюю загрузку 1.8, и моя машина имеет внутреннюю Java 9. Я добавил эти SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WI TH_AES_128_CBC_SHA, T LS_RSA_WITH_AES_256_ CBC_SHA cyphers он имеет тенденцию работать, но он отключен
(1) Oracle j9 не говорит `` внутренний '' и поддерживает ECDHE (и другие EC), и я почти уверен, но также не могу легко проверить OpenJDK, поэтому я не знаю, что у вас есть (2) не t использовать (любой пакет в том числе) RC4; он был серьезно ослаблен атаками за последнее десятилетие или около того и официально запрещен с 2015 года RFC7465 (3). Да, если вы настраиваете только не-DHE-пакеты, он отключает DHE; если вы хотите, чтобы и DHE (для других клиентов), и не-DHE (для Chrome) комплекты настраивали их оба. Чтобы сделать Chrome более счастливым, настройте хотя бы некоторые (неDHE) наборы AES + GCM (он предпочитает AEAD, а не CBC)
Согласно SSLLabs ваш сервер разрешает только обмен ключами DHE-RSA и Chrome больше не поддерживает (любой) обмен ключами DHE. Обратите внимание на список клиентских симуляций Chrome не работает. PS: использование сертификата только для аутентификации с ключом более сильным, чем CA (LE 2048), является пустой тратой времени и процессора.