Re: Activer le SSL sur un port différent que le 443

2021-10-25 Par sujet Stephane Bortzmeyer 
On Sat, Oct 23, 2021 at 05:25:41PM +0200,
 François TOURDE  wrote 
 a message of 17 lines which said:

> Je rajouterai une question:
> 
>   - Que dit curl (avec assez de -v pour qu'il soit bavard) ?

Oui, très important (on ne teste *pas* un problème HTTPS avec un
navigateur).

PS : SSL a été remplacé par TLS il y a 21 ans (certain·es abonné·es de
cette liste n'étaient pas encore né·es) et a été officiellement
abandonné il y a 6 ans .

Re: Activer le SSL sur un port différent que le 443

2021-10-23 Par sujet François TOURDE 
Le 18923ième jour après Epoch,
f...@choulou.boxathome.net écrivait:

> Bonjour,
>
>
> Trois questions me viennent à l'esprit :
>
> - y-a-t-il un reverse proxy entre le serveur et le client ?
> - que donne le test avec un autre navigateur ?
> - que donnent les logs (à mettre en mode debug si possible) du serveur
> Web (et du reverse proxy s'il y en a un) ?

Je rajouterai une question:

  - Que dit curl (avec assez de -v pour qu'il soit bavard) ?

Re: Activer le SSL sur un port différent que le 443

2021-10-23 Par sujet f...@choulou.boxathome.net 
Bonjour,


Trois questions me viennent à l'esprit :

- y-a-t-il un reverse proxy entre le serveur et le client ?
- que donne le test avec un autre navigateur ?
- que donnent les logs (à mettre en mode debug si possible) du serveur Web (et 
du reverse proxy s'il y en a un) ?



Le 22 octobre 2021 11:54:12 GMT+02:00, JUPIN Alain  a écrit :
>Bonjour,
>
>Le 22/10/2021 à 11:30, Greg a écrit :
>
>> pourquoi https en plus sur la ligne 8443 ? 
>
>En lisant ceci : https://httpd.apache.org/docs/2.4/fr/bind.html 
> section "Spécification 
>du protocole avec Listen" on y lit :
>
>/Dans la plupart des configurations, le second paramètre optionnel 
>protocol de la directive Listen n'est pas obligatoire. S'il n'est pas 
>spécifié, les protocoles par défaut sont https pour le port 443, et http 
>pour tous les autres ports. Le protocole sert à déterminer quel module 
>doit traiter une requête, et à appliquer les optimisations spécifiques 
>au protocole via la directive AcceptFilter.//
>//
>//Vous ne devez définir le protocole que si vous travaillez avec des 
>ports non standards. Par exemple, pour travailler en https sur le port 8443
>
>/Ceci expliquant donc le second paramètre https, mais si je le supprime, 
>cela ne résous pas mon problème pour autant (je l'avais ajouté justement 
>parce que je pensais que là était le hic)/
>
>/
>Alain JUPIN
>Lumières d'Ici ... et d'Ailleurs

Re: Activer le SSL sur un port différent que le 443

2021-10-22 Par sujet JUPIN Alain 

Bonjour,

Le 22/10/2021 à 11:30, Greg a écrit :

pourquoi https en plus sur la ligne 8443 ? 


En lisant ceci : https://httpd.apache.org/docs/2.4/fr/bind.html 
 section "Spécification 
du protocole avec Listen" on y lit :


/Dans la plupart des configurations, le second paramètre optionnel 
protocol de la directive Listen n'est pas obligatoire. S'il n'est pas 
spécifié, les protocoles par défaut sont https pour le port 443, et http 
pour tous les autres ports. Le protocole sert à déterminer quel module 
doit traiter une requête, et à appliquer les optimisations spécifiques 
au protocole via la directive AcceptFilter.//

//
//Vous ne devez définir le protocole que si vous travaillez avec des 
ports non standards. Par exemple, pour travailler en https sur le port 8443


/Ceci expliquant donc le second paramètre https, mais si je le supprime, 
cela ne résous pas mon problème pour autant (je l'avais ajouté justement 
parce que je pensais que là était le hic)/


/
Alain JUPIN
Lumières d'Ici ... et d'Ailleurs

Re: Activer le SSL sur un port différent que le 443

2021-10-22 Par sujet Greg 
Le Thu, 21 Oct 2021 18:43:45 +0200,
JUPIN Alain  a écrit :

> Dans ports.conf :
> Listen 80
> 
> 
>      Listen 443
>      Listen 8443 https
> 

pourquoi https en plus sur la ligne 8443 ?

Re: Activer le SSL sur un port différent que le 443

2021-10-22 Par sujet JUPIN Alain 

Bonjour,

Merci pour la réponse

Le 21/10/2021 à 22:44, Philippe a écrit :

 SSLOptions +StrictRequire
 SSLCipherSuite 
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$

car ce sont elles qui posent le plus souvent problème. J'essayerais avec les 
suites cypher
les moins strictes possibles, puis je les restreindrais petit à petit.

Bonne pioche,

Ph. Gras

Je viens de (re)faire le test et cela donne toujours la même erreur : 
SSL_ERROR_RX_RECORD_TOO_LONG


Pour info j'ai essayé en laissant uniquement :
    SSLEngine on
    SSLCertificateFile 
/etc/letsencrypt/live/live.mondomaine.fr/cert.pem
    SSLCertificateKeyFile 
/etc/letsencrypt/live/live.mondomaine.fr/privkey.pem
    SSLCertificateChainFile 
/etc/letsencrypt/live/live.mondomaine.fr/chain.pem

et j'ai toujours la même erreur !

De même, j'ai tenté de déclaré le VirtualHost de cette façon : 
 sans plus d'effet !


Alain JUPIN
Lumières d'Ici ... et d'Ailleurs

Re: Activer le SSL sur un port différent que le 443

2021-10-21 Par sujet Philippe 
Salut la liste !

Dans un cas comme celui-ci, je réessayerais en commentant ces instructions :

> SSLOptions +StrictRequire
> SSLCipherSuite 
> ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$

car ce sont elles qui posent le plus souvent problème. J'essayerais avec les 
suites cypher
les moins strictes possibles, puis je les restreindrais petit à petit.

Bonne pioche,

Ph. Gras