Toon posts:

[Debian - Apache-SSL] Fout melding bij toegang tot https

Pagina: 1
Acties:

vrijdag 2 mei 2003 16:39

Acties:

Verwijderd

Topicstarter
Als ik op m'n server (Debian Woody, laatste updates), m'n https aanspreek,
krijg ik het volgende in m'n error.log van apache-ssl:
code:
1

routines:SSL3_GET_RECORD:decryption failed or bad record mac


Ik heb al gezocht op google etc, echter ik krijg allerlei diverse meldingen over, oa (CACertificate etc.), echter ik gebruik (een net aangemaakt, volgens uitleg op apache.org) een zgn. private cq test key.

Iemand een idee wat er verkeerd gaat ?

vrijdag 2 mei 2003 22:58

Acties:

Verwijderd

Topicstarter
kick :?

vrijdag 2 mei 2003 23:32

Acties:
  • eth0
  • Registratie: Mei 2002
  • Laatst online: 15-09-2025

eth0

Post ook eens je ssl config van apache?

zaterdag 3 mei 2003 00:41

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 00:24

_JGC_

Ik ben zelf voor de oplossing apache + libapache-mod-ssl + libapache-mod-ssl-doc gegaan, werkt zeer goed moet ik zeggen.

De foutmelding die je hierboven noemt ken ik niet. Misschien dat het je wel lukt met mod_ssl.

zaterdag 3 mei 2003 02:37

Acties:

Verwijderd

Topicstarter
eth0 schreef op 02 May 2003 @ 23:32:
Post ook eens je ssl config van apache?
Die is al lange tijd, in orde geweest , het probleem doet zich voor na een reboot (kut, gaat m'n uptime). Tussen door is wel via, normale update/upgrade OpenSsl geupdate (zie debian site, security fixes). Echter na de updates deed alles het nog. Maar sinds de reboot is dus het https gedeelte onbenaderbaar (ik draai http & https door elkaar).

Ik heb dit al 's eerder gehad, echter toen was het een kwestie van de prive/test certificate opnieuw aanmaken. Deze actie helpt me nu jammer genoeg niet uit de brand. (ps. het is geen productie omgeving ofzo).

Wat ik het rare vind, is dat zoeken op deze melding, weinig treffers (bruikbare) treffers geeft, wat voor mij zegt dat het om een uitzonderlijke situatie gaat.


Directory /etc/ssl:
code:
1
2
3
4
5
6
7
8

-rw-r--r--    1 root     root          940 May  2 22:45 new.cert.cert
-rw-r--r--    1 root     root          737 May  2 22:44 new.cert.csr
-rw-r--r--    1 root     root          963 May  2 22:44 privkey.pem
-rw-r--r--    1 root     root          887 May  1 00:37 new.cert.key
drwxr-xr-x    2 root     root         4096 Feb 21 19:13 lib
drwxr-xr-x    2 root     root         4096 Dec 27 14:02 certs
-rw-r--r--    1 root     root         7174 Dec 27 12:58 openssl.cnf
-rw-r--r--    1 root     root          741 Dec 14 12:29 new.cert.old



Belangrijke regels in httpd.conf
code:
1
2

SSLCertificateFile /etc/ssl/new.cert.cert
SSLCertificateKeyFile /etc/ssl/new.cert.key


De config, is eigenlijk altijd zo geweest (alleen de cert files zijn gewijzigd sinds gister)

[ Voor 5% gewijzigd door Verwijderd op 03-05-2003 02:41 ]

zaterdag 3 mei 2003 02:45

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

Ben je deze al tegen gekomen:
http://www.geocrawler.com...3?msg_id=9355206&list=191
m.a.w.: delete de certificates uit de browser waarmee je toegang tot de server zoekt eens.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zaterdag 3 mei 2003 02:55

Acties:

Verwijderd

Topicstarter
blackd schreef op 03 mei 2003 @ 02:45:
Ben je deze al tegen gekomen:
http://www.geocrawler.com...3?msg_id=9355206&list=191
m.a.w.: delete de certificates uit de browser waarmee je toegang tot de server zoekt eens.
yep, ben ik ook tegen gekomen, echter omdat het om test/private certifecates gaat, worden ze (zover ik kan zien) niet op geslagen op de client machine (windows xp & windows 2000, in dit geval), zoja, dan zou ik niet weten waar ik deze moet "clearen".

zaterdag 3 mei 2003 02:57

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

In Internet Explorer?
Tools -> Internet Options -> Content -> Certificates.

edit:
nu haal ik 2 dingen door elkaar

[ Voor 178% gewijzigd door blackd op 03-05-2003 03:09 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zaterdag 3 mei 2003 03:06

Acties:

Verwijderd

Topicstarter
blackd schreef op 03 mei 2003 @ 02:57:
In Internet Explorer?
Tools -> Internet Options -> Content -> Certificates.
is gecleared, echter zelfde reactie :( (ik ga nu pitten, vriendin ligt al een uur te schelden, waar ik blijf :) )

Ik heb echter niet mod_ssl draaien, maar apache-ssl, en ik heb altijd dit opgevolgd:
http://www.apache-ssl.org/#Digital_Certificates

heeft ook altijd gewerkt, echter sinds laatste reboot (jaja, waarom reboot je dan ook je linux bak :*) ) , werkt het niet meer.

[ Voor 34% gewijzigd door Verwijderd op 03-05-2003 03:08 ]

zaterdag 3 mei 2003 03:10

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

Verwijderd schreef op 03 May 2003 @ 03:06:
Ik heb echter niet mod_ssl draaien, maar apache-ssl, en ik heb altijd dit opgevolgd:
http://www.apache-ssl.org/#Digital_Certificates
Daar kwam ik dus net ook achter 8)7 Ik zal bovenstaande even doorlezen.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zaterdag 3 mei 2003 03:13

Acties:

Verwijderd

Topicstarter
Ik vraag me af of het hiermee te maken heeft (OpenSsl update voor Debian Woody):

http://www.debian.org/security/2003/dsa-288


en dan met name deze text:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

Unfortunately, RSA blinding is not thread-safe and will cause failures for programs
 that use threads and OpenSSL such as stunnel. However, since the proposed fix
 would change the binary interface (ABI), programs that are dynamically linked
 against OpenSSL won't run anymore. This is a dilemma we can't solve.

You will have to decide whether you want the security update which is not thread-
safe and recompile all applications that apparently fail after the upgrade, or fetch 
the additional source packages at the end of this advisory, recompile it and use a 
thread-safe OpenSSL library again, but also recompile all applications that make 
use of it (such as apache-ssl, mod_ssl, ssh etc.).

However, since only very few packages use threads and link against the OpenSSL 
library most users will be able to use packages from this update without any 
problems


Als dit met mijn probleem te maken heeft, kan ik toch niet de enige zijn met het probleem ? (zoja hoe krijg ik de vorige versie van openssl terug ??) maar da's dan voor morgen.

(m'n ssh draait nog gewoon lekker door, intussen)


btw waarom, begrijpen vriendinnen niet, dat dit soort problemen iemand de hele nacht kan bezig houden :*)

[ Voor 11% gewijzigd door Verwijderd op 03-05-2003 03:17 ]

zaterdag 3 mei 2003 03:25

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

Als ik dit zo lees:
What do I get?
What you get is a set of patches for Apache (available for versions 1.2.0+ and 1.3.0+), some extra source files, a few READMEs and example configuration files. The patches must be applied to the Apache source, and the result compiled and linked with SSLeay (version 0.5.1b+) or OpenSSL
dan lijkt het mij dat Apache-ssl idd gelinkt is met OpenSSL.
Je kunt dan twee dingen doen:
de vorige versie van OpenSSL ergens vandaan halen en die installeren, of
Apache-ssl opnieuw compileren met de nieuwe sources van OpenSSL.

Ik denk dat de tweede optie het verstandigst is, anders zit je nog met deze bug opgescheept.
Verwijderd schreef op 03 May 2003 @ 03:13:
btw waarom, begrijpen vriendinnen niet, dat dit soort problemen iemand de hele nacht kan bezig houden :*)
offtopic:
Tsjah.. :X :P

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zaterdag 3 mei 2003 10:29

Acties:

Verwijderd

Topicstarter
Zo, /me was het goed beu :)

Dus vanochtend ff apt-get install apache libapache-mod-ssl gedaan,
wat geconfigureerd (http & https doorelkaar, via virtual servers).
En de boel draait weer gelukkig.

thnx, voor het meedenken in ieder geval.
Pagina: 1
Reageer