apache SSL et compatiblité MSIE ?

2 réponses
Avatar
Eric Belhomme
Bonjour,

J'ai un gros problème avec un serveur Apache 2.2 et SSL, sur un serveur
Debian Lenny :

J'ai générié mon certificat serveur (SHA1/RSA de 1024 bits à partir
d'une autorité de certification maison (root CA SHA1/RSA 2048 bits,
autosigné)

Ma config Apache est brute de décoffrage "Lenny" : j'ai simplement
activé mod_ssl et le VirtualHost default-ssl, et ajouté mon certificat
et mon CA.

Mon problème : avec Thunderbird, je n'ai aucun problème pour accéder au
site en SSL, mais avec MSIE (j'ai testé MSIE 6 et 7) je me prends le
message suivante dans les gencives :

"La page que vous recherchez est actuellement indisponible. Le site Web
rencontre peut-être des difficultés techniques, ou vous devez modifier
les paramètres de votre navigateur."

dans les logs d'Apache, voici que que j'obtiens :

[Wed Apr 22 18:37:43 2009] [info] Seeding PRNG with 648 bytes of entropy
[Wed Apr 22 18:37:44 2009] [info] [client 194.250.174.227] (70014)End of
file found: SSL input filter read failed.
[Wed Apr 22 18:37:44 2009] [info] [client 194.250.174.227] Connection
closed to child 3 with standard shutdown

En google-isant, j'ai bien vu que cette erreur est due à la mauvaise
gestion des sessions TLS faite par MSIE, et que le workaround est de
forcer certaines options lorqu'on detecte un client MSIE :

BrowserMatch ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

Mais c'est déjà activé dans ma configuration, et rien n'y fait !

J'ai aussi pensé à des subtilités dans la façon de construire son
certificat, mais je ne vois rien de foireux dans ma config :
- le CommonName (CN) est bien renseigné,
- Netscape Cert Type: SSL Server
- X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment
- X509v3 Extended Key Usage: TLS Web Server Authentication
- X509v3 Subject Alternative Name: DNS:webmail.rico, IP Address:10.1.1.1

Bref, je suis dans le brouillard, alors que ca semble pourtant un
problème bien connu ! Toute suggestion sera la bienvenue...

Merci,

--
Rico

2 réponses

Avatar
Floris
Eric Belhomme a écrit :
> BrowserMatch ".*MSIE.*"
> nokeepalive ssl-unclean-shutdown
> downgrade-1.0 force-response-1.0
>

Essaye:

SetEnvIf User-Agent ".*MSIE.*"
nokeepalive ssl-unclean-shutdown
downgrade-1.0 force-response-1.0


Et je met ça dans mes .htaccess

<Directory /blablabla>
Options None
AllowOverride None

AuthType Digest
AuthName "Connexion"
AuthUserFile "/blabla/.htpasswd"
BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

Require valid-user

Order deny,allow
Deny from all
Allow from all
</Directory>

Je suppose que tu vois la ligne interressante :)

--
Floris Dubreuil
Avatar
Eric Belhomme
Floris a écrit :
Eric Belhomme a écrit :
> BrowserMatch ".*MSIE.*"
> nokeepalive ssl-unclean-shutdown
> downgrade-1.0 force-response-1.0
>

Essaye:

SetEnvIf User-Agent ".*MSIE.*"
nokeepalive ssl-unclean-shutdown
downgrade-1.0 force-response-1.0




J'ai essayé ca dans setenvif, mais sans plus de résulats :( et toujours
le même message d'erreur !

BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On


[...]
Je suppose que tu vois la ligne interressante :)



Je ne cherche pas à faire de l'autentification client, mais simplement à
passer un site en SSL. Donc ca ne me sert à rien dans ce contexte.

Merci quand même ;)

--
Rico