我们的一位客户抱怨他们无法访问我们的ssl网络服务器。我们使用的是Ubuntu 12.04,Apache 2.2.22,我们的OpenSSL版本是1.0.1。 Apache错误日志说明如下:
[error] [client xxx.xxx.xxx.xxx] Re-negotiation request failed
[error] SSL Library Error: 336068946 error:14080152:SSL routines:SSL3_ACCEPT:unsafe legacy renegotiation disabled
根据Apache访问日志,他们使用非常旧的浏览器。我已经读过,添加“SSLVerifyClient可选”和“SSLInsecureRenegotiation on”-options将解决这个问题。但是,Apache错误日志仍然给我们这个错误。
<VirtualHost *:443>
SSLEngine on
SSLProtocol all -SSLv2
....
....
SSLVerifyClient optional
SSLInsecureRenegotiation on
</VirtualHost>
我们的虚拟主机配置有问题吗?由于我们的客户不会在最后解决这个问题,除此之外还有什么我们可以尝试的吗?
答案 0 :(得分:1)
将SSLInsecureRenegotiation设置为on应该有效,您确定自己位于正确的虚拟主机中吗?您可以使用apache2ctl -S查看当前配置的所有虚拟主机。
请注意,使用SSLInsecureRenegotiation会使所有您的客户容易受到MITM攻击。
答案 1 :(得分:0)
我们的virtualhost配置还包含以下SSLCipherSuite指令:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
删除此行并使用默认的SSLCipherSuite-directive解决了这个问题。