pa0bak schreef:
PA9X schreef:
Wat er verder op dezelfde server draait doet er niet aan toe. Je sluit het certificaat af op een domein en niet op een dienst.
Niets aan toe te voegen
Blijkbaar ben ik niet subtiel genoeg geweest. Excuses voor het detail wat nu alsnog volgt.
Om te beginnen gebeuren er gekke dingen met een SSL-handshake op poort 443:
Code: Selecteer alles
$ openssl s_client -connect zendamateur.com:443
CONNECTED(00000003)
34382953176:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 307 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1494273951
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
Met debugging wordt al iets duidelijker:
Code: Selecteer alles
$ openssl s_client -connect zendamateur.com:443 -debug
CONNECTED(00000003)
write to 0x801c17160 [0x801e3e000] (307 bytes => 307 (0x133))
0000 - 16 03 01 01 2e 01 00 01-2a 03 03 a7 4a c6 3f ae ........*...J.?.
...
0120 - 04 03 03 01 03 02 03 03-02 01 02 02 02 03 00 0f ................
0130 - 00 01 01 ...
read from 0x801c17160 [0x801c88000] (7 bytes => 7 (0x7))
0000 - 48 54 54 50 2f 31 2e HTTP/1.
34382953176:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
(rest weggelaten)
We krijgen geen SSL-handshake, maar iets wat op een gewone (not-encrypted) HTTP-handshake lijkt.
Dat blijkt te kloppen:
Code: Selecteer alles
$ telnet www.zendamateur.com 443
Trying 37.48.108.67...
Connected to www.zendamateur.com.
Escape character is '^]'.
GET / HTTP/1.1
Host: www.zendamateur.com
HTTP/1.1 200 OK
Date: Mon, 08 May 2017 20:09:53 GMT
Server: Apache/2.4.10 (Debian)
Last-Modified: Wed, 19 Aug 2015 12:47:49 GMT
ETag: "2b60-51da971389f86"
Accept-Ranges: bytes
Content-Length: 11104
Vary: Accept-Encoding
Content-Type: text/html
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>Apache2 Debian Default Page: It works</title>
<style type="text/css" media="screen">
(rest van default debian homepage weggelaten)
Het lijkt erop dat op de SSL-poort 443 helemaal geen SSL draait, op een SSL client-handshake komt een non-encrypted HTTP foutmelding terug. Dat klopt ook als je
http://www.zendamateur.com:443 probeert.
Kortom, op poort 443 draait helemaal geen HTTPS, geen SSL, maar alleen een onversleutelde HTTP-server.
Dat kan te maken hebben met de andere websites op deze server. Vanwege het risico op computervredebreuk en om onze gastheer niet in de weg te zitten heb ik dit niet verder willen onderzoeken.
Duidelijk is dat op poort 443 helemaal geen SSL draait, zoals ik eerder aangegeven heb. Hoe wil je nou een certificaat plaatsen/aanpassen als het ding op poort 443 helemaal geen SSL spreekt? En, wat is de impact als dat aangepast wordt voor de andere applicaties op deze machine? Nogmaals, we zijn te gast.
Geert Jan