J'ai un gros problème avec un serveur Apache 2.2 et SSL, sur un serveur
Debian Lenny :
J'ai générié mon certificat serveur (SHA1/RSA de 1024 bits à partir
d'une autorité de certification maison (root CA SHA1/RSA 2048 bits,
autosigné)
Ma config Apache est brute de décoffrage "Lenny" : j'ai simplement
activé mod_ssl et le VirtualHost default-ssl, et ajouté mon certificat
et mon CA.
Mon problème : avec Thunderbird, je n'ai aucun problème pour accéder au
site en SSL, mais avec MSIE (j'ai testé MSIE 6 et 7) je me prends le
message suivante dans les gencives :
"La page que vous recherchez est actuellement indisponible. Le site Web
rencontre peut-être des difficultés techniques, ou vous devez modifier
les paramètres de votre navigateur."
dans les logs d'Apache, voici que que j'obtiens :
[Wed Apr 22 18:37:43 2009] [info] Seeding PRNG with 648 bytes of entropy
[Wed Apr 22 18:37:44 2009] [info] [client 194.250.174.227] (70014)End of
file found: SSL input filter read failed.
[Wed Apr 22 18:37:44 2009] [info] [client 194.250.174.227] Connection
closed to child 3 with standard shutdown
En google-isant, j'ai bien vu que cette erreur est due à la mauvaise
gestion des sessions TLS faite par MSIE, et que le workaround est de
forcer certaines options lorqu'on detecte un client MSIE :
Mais c'est déjà activé dans ma configuration, et rien n'y fait !
J'ai aussi pensé à des subtilités dans la façon de construire son
certificat, mais je ne vois rien de foireux dans ma config :
- le CommonName (CN) est bien renseigné,
- Netscape Cert Type: SSL Server
- X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment
- X509v3 Extended Key Usage: TLS Web Server Authentication
- X509v3 Subject Alternative Name: DNS:webmail.rico, IP Address:10.1.1.1
Bref, je suis dans le brouillard, alors que ca semble pourtant un
problème bien connu ! Toute suggestion sera la bienvenue...