Почти..В nginx на мастер ноде в chiphers были старые настройки, которые использовались для проверки и так и остались. заменил на ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
08.02.2017 03:35, Михаил Касаджиков пишет: > Проверьте какая используется подпись у сертификата. Если SHA1 — > заменить. Сам на прошлой неделе заметил что aNag на ведроиде перестал > подключаться к исинге — там как раз старый сертификат был, ещё с SHA1. > Прикрутил Let's encrypt — всё заработало. > > Anton Gorlov <[email protected]> писал(а) в своём письме Wed, 08 Feb > 2017 01:00:07 +0300: > >> All -а кто-нибудь знает что такого страшного в 9 дебиане сделали с ssl? >> >> Пытаюсь тестовый сервер с debian stretch подключить к паппету, котрый >> пока ещё живёт на wheezy >> >> И весело получаю ошибку >> >> puppet agent --test --verbose --no-daemonize >> Error: Could not request certificate: SSL_connect returned=1 errno=0 >> state=SSLv2/v3 read server hello A: sslv3 alert handshake failure >> Exiting; failed to retrieve certificate and waitforcert is disabled >> >> >> >> Более того даже openssl выдаёт >> >> openssl s_client -connect 192.168.0.15:8140 >> CONNECTED(00000003) >> 139637739426944:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert >> handshake failure:ssl/record/rec_layer_s3.c:1388:SSL alert number 40 >> --- >> no peer certificate available >> --- >> No client certificate CA names sent >> --- >> SSL handshake has read 7 bytes and written 176 bytes >> Verification: OK >> --- >> New, (NONE), Cipher is (NONE) >> Secure Renegotiation IS NOT supported >> Compression: NONE >> Expansion: NONE >> No ALPN negotiated >> SSL-Session: >> Protocol : TLSv1.2 >> Cipher : 0000 >> Session-ID: >> Session-ID-ctx: >> Master-Key: >> PSK identity: None >> PSK identity hint: None >> SRP username: None >> Start Time: 1486504793 >> Timeout : 7200 (sec) >> Verify return code: 0 (ok) >> Extended master secret: no >> >> При том, что с той же jessie всё Ок. >> >> > >
