Toon posts:

SSL foutmeldingen

Pagina: 1
Acties:

Vraag

donderdag 4 oktober 2018 21:29

Acties:
  • 0Henk 'm!
  • twakkers
  • Registratie: Oktober 2010
  • Laatst online: 05-03 11:48

twakkers

Topicstarter
Op onze website https://www.m2msolutions.nl/ is er een gebruiker die SSL foutmeldingen krijgt.
Maar wij zelf niet.

Ondanks dat de gebruiker de nieuwste Google Chrome en Edge gebruikt.
Zijn provider is Ziggo.

Foutmelding Chrome: err_ssl_unrecognized_name_alert
Foutmelding Edge: Verouderde of onveilige TLS-beveilingsinstellingen

Krijgen jullie een foutmelding? en is dit toevallig ook met Ziggo?

Beste antwoord (via twakkers op 07-10-2018 21:27)

donderdag 4 oktober 2018 22:53

  • Thralas
  • Registratie: December 2002
  • Laatst online: 26-05 16:05

Thralas

Vorkie schreef op donderdag 4 oktober 2018 @ 21:52:
Zorg eerst dat de link van @Wiebeltje en zoals @HKLM_ zegt op >A staat.
Interessant genoeg kun je in dit geval de oorzaak niet zomaar afleiden uit het SSLLabs-rapport.
En haal je AAAA-record (IPv6) weg als je webserver er niet op luistert.... of laat de webserver er naar luisteren.
Want dit is het probleem. Zie RFC6066 over SNI:
If the server understood the ClientHello extension but
does not recognize the server name, the server SHOULD take one of two
actions: either abort the handshake by sending a fatal-level
unrecognized_name(112) alert or continue the handshake.
De gebruiker waarvoor het niet werkt heeft IPv6, en kom dus uit op een server die het hele domein niet kent en zodoende de connectie direct afbreekt met een err_ssl_unrecognized_name_alert.

Alle reacties

donderdag 4 oktober 2018 21:37

Acties:
  • 0Henk 'm!
  • Snake
  • Registratie: Juli 2005
  • Laatst online: 26-05 18:56

Snake

Los Angeles, CA, USA

Het enige wat ik kan zien is dat de www in de SAN zit, en niet in de CN. Maar aangezien jouw gebruiker Edge gebruikt heeft hij/zij Windows 10, en die heeft daar geen problemen mee.

Kan de gebruiker eens een screenshot maken van de certification chain in Chrome?

Going for adventure, lots of sun and a convertible! | GMT-8

donderdag 4 oktober 2018 21:38

Acties:
  • +2Henk 'm!
  • Wiebeltje
  • Registratie: Maart 2013
  • Laatst online: 23:01

Wiebeltje

Er zijn een hoop online tools om je SSL certificaat te controleren. Ik gebruik altijd SSLlabs. Daar komt je website niet heel erg best uit: https://www.ssllabs.com/s...utions.nl&s=37.97.192.139 .

Je zal sowieso wat oude cipher suites moeten gaan uitschakelen. Dat is ook in lijn met de foutmelding die de gebruiker krijgt.

donderdag 4 oktober 2018 21:44

Acties:
  • 0Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 22:07

HKLM_

SSL3 en RC4 zijn dingen die zo snel mogelijk zou fixen :X ook de rest natuurlijk tot je een A hebt of een A+ :)

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

donderdag 4 oktober 2018 21:52

Acties:
  • +1Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

En haal je AAAA-record (IPv6) weg als je webserver er niet op luistert.... of laat de webserver er naar luisteren.

Zorg eerst dat de link van @Wiebeltje en zoals @HKLM_ zegt op >A staat.

donderdag 4 oktober 2018 22:53

Acties:
  • Beste antwoord
  • +1Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 26-05 16:05

Thralas

Vorkie schreef op donderdag 4 oktober 2018 @ 21:52:
Zorg eerst dat de link van @Wiebeltje en zoals @HKLM_ zegt op >A staat.
Interessant genoeg kun je in dit geval de oorzaak niet zomaar afleiden uit het SSLLabs-rapport.
En haal je AAAA-record (IPv6) weg als je webserver er niet op luistert.... of laat de webserver er naar luisteren.
Want dit is het probleem. Zie RFC6066 over SNI:
If the server understood the ClientHello extension but
does not recognize the server name, the server SHOULD take one of two
actions: either abort the handshake by sending a fatal-level
unrecognized_name(112) alert or continue the handshake.
De gebruiker waarvoor het niet werkt heeft IPv6, en kom dus uit op een server die het hele domein niet kent en zodoende de connectie direct afbreekt met een err_ssl_unrecognized_name_alert.

donderdag 4 oktober 2018 22:58

Acties:
  • 0Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

@Thralas verklaard een hoop, kreeg de melding zelf ook... Had even geen link gelegd hiermee.. 👍🏻

donderdag 4 oktober 2018 23:09

Acties:
  • 0Henk 'm!
  • Wiebeltje
  • Registratie: Maart 2013
  • Laatst online: 23:01

Wiebeltje

Thralas schreef op donderdag 4 oktober 2018 @ 22:53:
[...]
Interessant genoeg kun je in dit geval de oorzaak niet zomaar afleiden uit het SSLLabs-rapport.
[...]
Feitelijk dus wel: https://www.ssllabs.com/s...tml?d=www.m2msolutions.nl maar ik zal eerlijk bekennen dat ik die ipv6 wel gezien had maar ik snapte het niet helemaal. Omdat hij ook geen grade mee kreeg dacht ik dat die er niks mee te maken zou hebben.

vrijdag 5 oktober 2018 08:34

Acties:
  • 0Henk 'm!
  • twakkers
  • Registratie: Oktober 2010
  • Laatst online: 05-03 11:48

twakkers

Topicstarter
Bedankt voor alle reacties.
Zou het verwijderen van de AAAA records uit de DNS lijst helpen in dit geval?
Ik maak uiteraard een backup van de instellingen lijst.

vrijdag 5 oktober 2018 09:05

Acties:
  • 0Henk 'm!
  • VHware
  • Registratie: Januari 2000
  • Laatst online: 23:02

VHware

twakkers schreef op vrijdag 5 oktober 2018 @ 08:34:
Bedankt voor alle reacties.
Zou het verwijderen van de AAAA records uit de DNS lijst helpen in dit geval?
Ik maak uiteraard een backup van de instellingen lijst.
Ja, dan maakt iedereen verbinding op het IPv4-adres gezien er dan geen record voor IPv6 meer is. Je kan het natuurlijk ook aan de serverkant fixen dat IPv6 wel werkt ?
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee