Vraag

donderdag 4 oktober 2018 21:29

Acties:
  • 0 Henk 'm!
  • twakkers
  • Registratie: Oktober 2010
  • Laatst online: 05-03-2023

twakkers

Topicstarter
Op onze website https://www.m2msolutions.nl/ is er een gebruiker die SSL foutmeldingen krijgt.
Maar wij zelf niet.

Ondanks dat de gebruiker de nieuwste Google Chrome en Edge gebruikt.
Zijn provider is Ziggo.

Foutmelding Chrome: err_ssl_unrecognized_name_alert
Foutmelding Edge: Verouderde of onveilige TLS-beveilingsinstellingen

Krijgen jullie een foutmelding? en is dit toevallig ook met Ziggo?

Beste antwoord (via twakkers op 07-10-2018 21:27)

donderdag 4 oktober 2018 22:53

  • Thralas
  • Registratie: December 2002
  • Laatst online: 10-06 20:30

Thralas

Vorkie schreef op donderdag 4 oktober 2018 @ 21:52:
Zorg eerst dat de link van @Wiebeltje en zoals @HKLM_ zegt op >A staat.
Interessant genoeg kun je in dit geval de oorzaak niet zomaar afleiden uit het SSLLabs-rapport.
En haal je AAAA-record (IPv6) weg als je webserver er niet op luistert.... of laat de webserver er naar luisteren.
Want dit is het probleem. Zie RFC6066 over SNI:
If the server understood the ClientHello extension but
does not recognize the server name, the server SHOULD take one of two
actions: either abort the handshake by sending a fatal-level
unrecognized_name(112) alert or continue the handshake.
De gebruiker waarvoor het niet werkt heeft IPv6, en kom dus uit op een server die het hele domein niet kent en zodoende de connectie direct afbreekt met een err_ssl_unrecognized_name_alert.

Alle reacties

donderdag 4 oktober 2018 21:37

Acties:
  • 0 Henk 'm!
  • Snake
  • Registratie: Juli 2005
  • Laatst online: 07-03-2024

Snake

Los Angeles, CA, USA

Het enige wat ik kan zien is dat de www in de SAN zit, en niet in de CN. Maar aangezien jouw gebruiker Edge gebruikt heeft hij/zij Windows 10, en die heeft daar geen problemen mee.

Kan de gebruiker eens een screenshot maken van de certification chain in Chrome?

Going for adventure, lots of sun and a convertible! | GMT-8

donderdag 4 oktober 2018 21:38

Acties:
  • +2 Henk 'm!
  • Wiebeltje
  • Registratie: Maart 2013
  • Laatst online: 10-06 22:36

Wiebeltje

Er zijn een hoop online tools om je SSL certificaat te controleren. Ik gebruik altijd SSLlabs. Daar komt je website niet heel erg best uit: https://www.ssllabs.com/s...utions.nl&s=37.97.192.139 .

Je zal sowieso wat oude cipher suites moeten gaan uitschakelen. Dat is ook in lijn met de foutmelding die de gebruiker krijgt.

donderdag 4 oktober 2018 21:44

Acties:
  • 0 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 09:46

HKLM_

SSL3 en RC4 zijn dingen die zo snel mogelijk zou fixen :X ook de rest natuurlijk tot je een A hebt of een A+ :)

Cloud ☁️

donderdag 4 oktober 2018 21:52

Acties:
  • +1 Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

En haal je AAAA-record (IPv6) weg als je webserver er niet op luistert.... of laat de webserver er naar luisteren.

Zorg eerst dat de link van @Wiebeltje en zoals @HKLM_ zegt op >A staat.

donderdag 4 oktober 2018 22:53

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 10-06 20:30

Thralas

Vorkie schreef op donderdag 4 oktober 2018 @ 21:52:
Zorg eerst dat de link van @Wiebeltje en zoals @HKLM_ zegt op >A staat.
Interessant genoeg kun je in dit geval de oorzaak niet zomaar afleiden uit het SSLLabs-rapport.
En haal je AAAA-record (IPv6) weg als je webserver er niet op luistert.... of laat de webserver er naar luisteren.
Want dit is het probleem. Zie RFC6066 over SNI:
If the server understood the ClientHello extension but
does not recognize the server name, the server SHOULD take one of two
actions: either abort the handshake by sending a fatal-level
unrecognized_name(112) alert or continue the handshake.
De gebruiker waarvoor het niet werkt heeft IPv6, en kom dus uit op een server die het hele domein niet kent en zodoende de connectie direct afbreekt met een err_ssl_unrecognized_name_alert.

donderdag 4 oktober 2018 22:58

Acties:
  • 0 Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

@Thralas verklaard een hoop, kreeg de melding zelf ook... Had even geen link gelegd hiermee.. 👍🏻

donderdag 4 oktober 2018 23:09

Acties:
  • 0 Henk 'm!
  • Wiebeltje
  • Registratie: Maart 2013
  • Laatst online: 10-06 22:36

Wiebeltje

Thralas schreef op donderdag 4 oktober 2018 @ 22:53:
[...]
Interessant genoeg kun je in dit geval de oorzaak niet zomaar afleiden uit het SSLLabs-rapport.
[...]
Feitelijk dus wel: https://www.ssllabs.com/s...tml?d=www.m2msolutions.nl maar ik zal eerlijk bekennen dat ik die ipv6 wel gezien had maar ik snapte het niet helemaal. Omdat hij ook geen grade mee kreeg dacht ik dat die er niks mee te maken zou hebben.

vrijdag 5 oktober 2018 08:34

Acties:
  • 0 Henk 'm!
  • twakkers
  • Registratie: Oktober 2010
  • Laatst online: 05-03-2023

twakkers

Topicstarter
Bedankt voor alle reacties.
Zou het verwijderen van de AAAA records uit de DNS lijst helpen in dit geval?
Ik maak uiteraard een backup van de instellingen lijst.

vrijdag 5 oktober 2018 09:05

Acties:
  • 0 Henk 'm!
  • VHware
  • Registratie: Januari 2000
  • Laatst online: 11:17

VHware

twakkers schreef op vrijdag 5 oktober 2018 @ 08:34:
Bedankt voor alle reacties.
Zou het verwijderen van de AAAA records uit de DNS lijst helpen in dit geval?
Ik maak uiteraard een backup van de instellingen lijst.
Ja, dan maakt iedereen verbinding op het IPv4-adres gezien er dan geen record voor IPv6 meer is. Je kan het natuurlijk ook aan de serverkant fixen dat IPv6 wel werkt ?
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq