Проблемы с SSL после миграции на Apache 2.4.37 с 2.4.7 с использованием ppa:ondrej/apache2

У меня раздражающая проблема после перехода на Apache 2.4.37 с помощью ppa:ondrej/apache2, После перемен у меня много ERR_SSL_PROTOCOL_ERROR во время доступа к моим сайтам.

Эффект заключается в том, что при наличии сайта, имеющего некоторый ajax-скрипт, который периодически проверяет некоторые данные, каждый второй запрос иногда возвращает ошибку, упомянутую выше. То же самое происходит при обновлении сайта - он находится в цикле "небезопасно - безопасно - небезопасно".

[РЕДАКТИРОВАТЬ] Всякий раз, когда это происходит, в журнале нет ошибок по этому вопросу. Не говоря уже о том, что это происходит глобально - все сайты, обслуживаемые с сервера, имеют эту проблему в одно и то же время, в течение аналогичного периода времени.

Запрос в браузере выглядит так:

список запросов devtools

Для сертификации на моем сервере я использую Let'sEncrypt certbot также в каждом включенном SSL Vhost я включил options-ssl-apache.conf предоставлено Let'sEncrypt.

Я укажу, что мои vhost confs не изменились после обновления, ни файлы сертификата, используемые сайтами. - проблема не возникает на 2.4.7, только при обновлении до 2.4.37.

Wireshark бревна 

Информация о целевом протоколе источника времени 9.759740        local_ip        server_ip       TCP         60485 → 443 [ACK] Seq=1 Ack=1 Win=256 Len=1 [TCP-сегмент повторно собранного PDU]
9.886868        server_ip       local_ip        TCP         443 → 60485 [ACK] Seq=1 Ack=2 Win=653 Len=0 SLE=1 SRE=2
11.082160       local_ip        server_ip       TLSv1.2 Игнорируется неизвестная запись 11.209445       server_ip       local_ip        TCP         443 → 60485 [ACK] Seq=1 Ack=966 Win=668 Len=0
11.209446       server_ip       local_ip local_ip TLSv1.2 Оповещение (Уровень: Неустранимый, Описание: Неожиданное сообщение)
11.209446       server_ip       local_ip        TCP         443 → 60485 [FIN, ACK] Seq=8 Ack=966 Win=668 Len=0
11.209495       local_ip        server_ip       TCP         60485 → 443 [ACK] Seq=966 Ack=9 Win=256 Len=0
11.209645       local_ip        server_ip       TLSv1.2 Зашифрованное предупреждение 11.209917       local_ip        server_ip       TCP         60485 → 443 [FIN, ACK] Seq=989 Ack=9 Win=256 Len=0
11.336928       server_ip       local_ip        TCP         443 → 60485 [RST] Seq=9 Win=0 Len=0
11.336991       server_ip       local_ip        TCP         443 → 60485 [RST] Seq=9 Win=0 Len=0
72.078422       local_ip        server_ip       TCP         60691 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1
72.209323       server_ip       local_ip        TCP         443 → 60691 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 SACK_PERM=1 WS=128
72.209390       local_ip        server_ip       TCP         60691 → 443 [ACK] Seq=1 Ack=1 Win=65536 Len=0
72.209587       local_ip        server_ip       TLSv1.2 Клиент Hello
72.340476       server_ip       local_ip        TCP         443 → 60691 [ACK] Seq=1 Ack=518 Win=30336 Len=0
72.341920       server_ip       local_ip        TLSv1.2     Server Hello, Hello Изменить спецификацию шифра, сообщение зашифрованного рукопожатия 72.342281 local_ip server_ip TLSv1.2 Изменить спецификацию шифра, сообщение зашифрованного рукопожатия 72.343018 local_ip server_ip TLSv1.2 Данные приложения 72.473941       server_ip       local_ip        TCP         443 → 60691 [ACK] Seq=149 Ack=1525 Лен = 3225 72.510918       server_ip       local_ip        TLSv1.2 Данные приложения 72.552329       local_ip        server_ip       TCP         60691 → 443 [ACK] Seq=1525 Ack=935 Win=64512 Len=0
117.510566      local_ip        server_ip       TCP         [TCP Keep-Alive] 60691 → 443 [ACK] Seq=1524 Ack=935 Win=64512 Len=1
117.641439      server_ip       local_ip        TCP         [TCP AC-Keep-Alive ACK] 443 → 60691 [ACK] Seq=935 Ack=1525 Win=32256 Len=0 SLE=1524 SRE=1525
132.080054      local_ip        server_ip       TLSv1.2 Данные приложения 132.211048      server_ip       local_ip        TCP         443 → 60691 [ACK] Seq=935 Ack=2489 Win=34176 Len=0
132.211049      server_ip       local_ip local_ip TLSv1. 2 оповещения (уровень: фатальный, описание: неожиданное сообщение)
132.211049      server_ip       local_ip        TCP         443 → 60691 [FIN, ACK] Seq=942 Ack=2489 Win=34176 Len=0
132.211148      local_ip        server_ip       TCP         60691 → 443 [ACK] Seq=2489 Ack=943 Win=64512 Len=0
132.211288      local_ip        server_ip       TLSv1.2 Зашифрованное предупреждение 132.211496      local_ip        server_ip       TCP         60691 → 443 [FIN, ACK] Seq=2512 Ack=943 Win=64512 Len=0
132.342025      server_ip       local_ip        TCP         443 → 60691 [RST] Seq=943 Win=0 Len=0
132.342255      server_ip       local_ip        TCP         443 → 60691 [RST] Seq=943 Win=0 Len=0
Источник

1 ответ

Я также испытываю проблемы с моими виртуальными хостами с поддержкой SSL, которые работают с билетными системами RT4. Я обновился до apache2 2.4.37-1+ubuntu18.04.1+deb.sury.org+1 и openssl 1.1.1-3+ubuntu18.04.1+deb.sury.org+3.

Для меня ситуация такова. Удаленно, я могу получить доступ к веб-сайту, работающему на сервере, с помощью браузера на моей локальной машине. Но когда я использую инструменты командной строки на самом сервере для доступа к тикетам, команда истекает, и я вижу ошибку. Кроме того, программа rt-mailgate, которая используется для подачи новых заявок, также не работает с ошибкой. К сожалению, я не вижу много ошибок, появляющихся в лог-файлах, когда я использую уровень отладки:-(

Если я переконфигурирую настройку и отключу SSL (так, чтобы он работал через http, а не через https), эти сценарии снова будут работать нормально. Так что SSL-слой выглядит виновным...

Возможно, это связано с билетом об ошибке "Время входа в систему с сертификатом клиента" на https://bugs.launchpad.net/ubuntu/+source/apache2/+bug/1803689 (по крайней мере, комбинированные версии apache2/openssl являются так же).

Источник
Другие вопросы по тегам