Wartungsarbeiten

    Tja, seit den Wartungsarbeiten kann ich das Forum mit dem Firefox (ESR 45.7.0 unter W10) nicht mehr aufrufen (weiße Seite). Was hat sich geändert?

    Mit dem notgedrungen ausgegrabenen IE geht es zwar, aber das ist natürlich keine Lösung für die Dauer.

    ebayForumKopfverkl.jpg
    Peter Viehrig

    "Glaube ist die Überzeugung, dass etwas wahr ist, weil die Belege zeigen, dass es falsch ist."
    (Andreas Müller)

    Für @Malte und Wayne:
    Der Client schickt einige unterstützte Ciphers, u.a. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 und TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (In dieser Reihenfolge!).

    Der Server hat selbst eine Reihenfolge definiert, auf der TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA zuerst kommt.

    Jener Cipher steht aber auf der Blacklist für http/2:

    Der Browser stört sich dann daran und macht die Verbindung zu.

    Entweder muss ssl_prefer_server_ciphers aus, oder die cipher-Liste muss angepasst werden.
    Meine Server laufen mit:

    Code
    ssl_protocols TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:!ADH:!AECDH:!MD5;


    Damit sollte GCM dann vor CBC in der Serverliste kommen.

    Solange Dummheit als plausible Erklärung ausreicht, sollte man keinen Vorsatz annehmen.

    Zitat von Gerhart

    Der Client schickt einige unterstützte Ciphers, u.a. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 und TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (In dieser Reihenfolge!).

    Ernsthaft? Firefox schickt eine Liste von "unterstützten" Ciphers und gibt einen Fehler aus, wenn sich der Server für einen bestimmten von diesen entscheidet?
    Warum schickt der den dann überhaupt?
    Ist das tatsächlich so bekloppt, wie ich es gerade verstehe?

    Zitat von Epaminaidos

    Ernsthaft? Firefox schickt eine Liste von "unterstützten" Ciphers und gibt einen Fehler aus, wenn sich der Server für einen bestimmten von diesen entscheidet?
    Warum schickt der den dann überhaupt?
    Ist das tatsächlich so bekloppt, wie ich es gerade verstehe?


    Dieselbe Frage habe ich mir auch gestellt. Vielleicht wird sie in einem der zahlreichen RFCs beantwortet.
    Aber ich denke Lösung ist diese:
    Der Client weiß nicht, ob der Server http/2 kann oder nur 1.1; um noch paar ältere Server zu unterstützen wird "CBC / SHA1" mitgeschickt, wenn auch mit niedriger Priorität.
    Der Server, der jetzt weiß dass http/2 gewünscht ist, wählt einen Cipher aus, der auf der Blacklist für http/2 steht und auch noch niedrige Priorität hat. Ich würde fast soweit gehen und sagen, dass nginx (bzw. openssl?) hier eine Macke hat, das sollte diese Blacklist kennen und beachten.
    Oder man schiebt die Schuld auf den Admin, der seine Cipher-Liste falsch konfiguriert hat ;)

    Solange Dummheit als plausible Erklärung ausreicht, sollte man keinen Vorsatz annehmen.

    Testweise habe ich mal die automatische Bereinigung angeworfen, wobei sämtliche Addons und alle benutzerspezifischen Einstellungen entfernt bzw. zurückgesetzt werden. Das Ergebnis ist das gleiche.

    Anschließend habe ich ihn komplett neu installiert, wiederum gleiches Ergebnis.

    Damit habe ich meinen Rechner als Fehlerquelle nahezu ausgeschlossen, vermute ich.

    Beim FF ist es zum Glück recht einfach, das Profil wegzusichern und nach einem solchen Test mit der persönlichen Konfiguration wiederherzustellen.

    ebayForumKopfverkl.jpg
    Peter Viehrig

    "Glaube ist die Überzeugung, dass etwas wahr ist, weil die Belege zeigen, dass es falsch ist."
    (Andreas Müller)

    Zitat von Gerhart

    Der Client weiß nicht, ob der Server http/2 kann oder nur 1.1; um noch paar ältere Server zu unterstützen wird "CBC / SHA1" mitgeschickt, wenn auch mit niedriger Priorität.

    Klingt stimmig. So scheitern schnuckelig flexible und saubere Konzepte in der Praxis und der Server muss doch wieder Wissen über den Client haben :)