ssl_error_handshake_failure_alert mit kommerziellem CA-basiertem Client-Zertifikat

Question 1

Wenn der Handshake fehlschlägt, kann es sein, dass der Client das ausgehandelte SSL-Protokoll nicht versteht (oder nicht für die Verwendung dieses Protokolls konfiguriert ist). Überprüfen Sie beispielsweise in FF, ob alle SSL-Protokolle aktiviert sind (SSL2, SSL3, TLSv1) und gleichen Sie dies mit dem für Apache konfigurierten SSL-Protokoll ab.

aktualisieren:Es kann auch sinnvoll sein, eine Netzwerkverfolgung durchzuführen, um zu sehen, welche Cypher-Suiten sowohl vom Client als auch vom Server unterstützt werden. Möglicherweise können sie keine passende Suite finden und daher schlägt der Handshake fehl.

oder das Einrichten des Modssl-Protokolls kann ebenfalls weitere Details offenbaren:http://www.modssl.org/docs/2.8/ssl_reference.html#ToC19

Answer

Wenn der Handshake fehlschlägt, kann es sein, dass der Client das ausgehandelte SSL-Protokoll nicht versteht (oder nicht für die Verwendung dieses Protokolls konfiguriert ist). Überprüfen Sie beispielsweise in FF, ob alle SSL-Protokolle aktiviert sind (SSL2, SSL3, TLSv1) und gleichen Sie dies mit dem für Apache konfigurierten SSL-Protokoll ab.

aktualisieren:Es kann auch sinnvoll sein, eine Netzwerkverfolgung durchzuführen, um zu sehen, welche Cypher-Suiten sowohl vom Client als auch vom Server unterstützt werden. Möglicherweise können sie keine passende Suite finden und daher schlägt der Handshake fehl.

oder das Einrichten des Modssl-Protokolls kann ebenfalls weitere Details offenbaren:http://www.modssl.org/docs/2.8/ssl_reference.html#ToC19

Question 2

Verwenden Sie zufällig Debian/Lenny?

Wir sind auf ein ähnliches Problem gestoßen und haben schließlich herausgefunden, dass akzeptierte Zertifikate jetzt keine MD5-Prüfsumme (SHA-irgendwas ist in Ordnung) mehr haben dürfen, weil dies als unsicher gilt.

Unser Problem war jedoch GnuTLS+OpenLDAP. Vielleicht möchten Sie ein erneuertes Zertifikat oder sogar ein selbstsigniertes Zertifikat ausprobieren, bevor Sie mehr Geld ausgeben.

Answer

Verwenden Sie zufällig Debian/Lenny?

Wir sind auf ein ähnliches Problem gestoßen und haben schließlich herausgefunden, dass akzeptierte Zertifikate jetzt keine MD5-Prüfsumme (SHA-irgendwas ist in Ordnung) mehr haben dürfen, weil dies als unsicher gilt.

Unser Problem war jedoch GnuTLS+OpenLDAP. Vielleicht möchten Sie ein erneuertes Zertifikat oder sogar ein selbstsigniertes Zertifikat ausprobieren, bevor Sie mehr Geld ausgeben.

Question 3

In meinem Fall war das Client-Zertifikat (das in Firefox importierte '.p12'-Ding) veraltet und ich erhielt einen solchen Fehler. In diesem Fall müssen Sie das Client-Zertifikat neu generieren und signieren.

Answer

In meinem Fall war das Client-Zertifikat (das in Firefox importierte '.p12'-Ding) veraltet und ich erhielt einen solchen Fehler. In diesem Fall müssen Sie das Client-Zertifikat neu generieren und signieren.

Question 4

Überprüfen Sie die Paypal-URL

api.paypal.com/webscr&cmd=_express-checkout&token='; Ersetzen Sie durch api.paypal.com/webscr&cmd=_express-checkout&token=';

weitere Einzelheiten finden Sie unter ... http://blog.oryxn.com/2010/10/ssl_error_handshake_failure_alert-paypal/

Answer

Überprüfen Sie die Paypal-URL

api.paypal.com/webscr&cmd=_express-checkout&token='; Ersetzen Sie durch api.paypal.com/webscr&cmd=_express-checkout&token=';

weitere Einzelheiten finden Sie unter ... http://blog.oryxn.com/2010/10/ssl_error_handshake_failure_alert-paypal/

ssl_error_handshake_failure_alert mit kommerziellem CA-basiertem Client-Zertifikat

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen