Firefox "ssl_error_no_cypher_overlap " kesalahan
Rekan kerja saya dan saya mengalami masalah menggunakan Firefox 3.0.6 untuk mengakses aplikasi web Java 1.6.0___11 yang sedang kami kembangkan. Semuanya bekerja dengan baik mulai dari 1-30 menit dalam sesi tersebut...tetapi akhirnya, koneksi gagal dan kesalahan berikut muncul:
Secure Connection Failed
Kesalahan terjadi selama koneksi ke 10.x.x.x.x.
Tidak dapat berkomunikasi secara aman dengan peer: tidak ada algoritma enkripsi yang sama.
(Kode kesalahan: ssl_error_no_cypher_overlap)
IE berfungsi dengan baik. Firefox melempar kesalahan di Windows dan Fedora, jadi masalahnya tampaknya tidak terkait dengan OS. Aplikasi Java EE berjalan pada server Tomcat 6.0.16. Semua halaman dienkripsi menggunakan TLS 1.0 melalui server HTTP Apache 2.2.8 dengan mod_nss.
Server Apache kami dikonfigurasi untuk menolak koneksi SSL 3.0. Satu hipotesis yang kami miliki adalah bahwa Firefox mungkin mencoba membuat koneksi SSL 3.0....tetapi mengapa?
Berdasarkan beberapa Googling, kami mencoba beberapa hal berikut ini, tetapi tidak berhasil:
-
menggunakan Firefox 2.x (beberapa orang melaporkan kejadian di mana 2.x berhasil tetapi 3.x tidak berhasil):
-
mengaktifkan SSL2
-
menonaktifkan SSL3
-
menonaktifkan OCSP (Alat > Opsi > Lanjutan > Enkripsi > Validasi)
-
memastikan bahwa anti-virus/firewall komputer klien tidak memblokir atau memindai port 443 (port https)
Ada ide?
Mengingat apa yang telah Anda coba dan pesan-pesan kesalahan, saya akan mengatakan bahwa ini lebih berkaitan dengan algoritma cipher yang digunakan daripada versi TLS/SSL. Apakah Anda menggunakan JRE non-Sun, atau implementasi keamanan vendor yang berbeda? Cobalah JRE/OS yang berbeda untuk menguji server Anda jika Anda bisa. Jika gagal, anda mungkin dapat melihat apa yang terjadi dengan Wireshark (dengan filter 'tcp.port == 443').
Di bawah pengaturan lanjutan firefox Anda seharusnya dapat mengatur enkripsi. Secara default SSL3.0 dan TLS1.0 harus dicentang, jadi jika firefox mencoba membuat koneksi ssl 3.0 coba hapus centang pada pengaturan ssl 3.0s.
jika itu tidak berhasil, coba cari halaman about:config untuk "ssl2" Firefox saya memiliki pengaturan dengan ssl2 yang diatur ke false secara default...
Hal pertama yang akan saya periksa adalah konfigurasi untuk mod_nss. Ini adalah hal yang aneh, karena itu adalah milik Anda dan tidak ada di dunia ini yang seperti itu :-) Sedangkan jika ada bug besar di Firefox atau mod_nss itu sendiri, saya kira Anda pasti sudah mengetahuinya sekarang dalam pencarian google Anda. Fakta bahwa anda telah mengutak-atik konfigurasi (misalnya menonaktifkan SSL3, dan berbagai perubahan acak lainnya), juga mencurigakan.
Saya akan kembali ke konfigurasi mod_nss yang sangat vanila dan melihat apakah itu berhasil. Kemudian ubahlah hal-hal secara sistematis terhadap konfigurasi Anda saat ini sampai Anda dapat mereproduksi masalahnya. Menurut suara itu, sumber kesalahan ada di suatu tempat di konfigurasi spesifikasi cipher mod _nss dan hal-hal negosiasi protokol terkait. Jadi mungkin Anda secara tidak sengaja mengubah sesuatu di sana ketika mencoba mematikan SSLv3 (kebetulan, mengapa menonaktifkan SSL3? Biasanya orang menonaktifkan V2?).
Satu hal lain yang perlu diperiksa adalah bahwa Anda menggunakan mod_nss terbaru dan itu bukan bug yang diketahui. Fakta bahwa ia berhasil memulai sesi dan kemudian gagal kemudian adalah hal yang menarik - hal ini menunjukkan bahwa mungkin ia mencoba menegosiasikan ulang sesi dan gagal menegosiasikan sandi pada saat itu. Jadi mungkin saja itu adalah sandi simetris. Atau bisa jadi itu hanya bug implementasi dalam versi mod_nss Anda yang entah bagaimana mengacaukan protokol.
Satu ide lain, dan ini adalah tebakan liar, adalah browser mencoba melanjutkan sesi yang dinegosiasikan dengan SSLv3 sebelum Anda menonaktifkannya, dan ada sesuatu yang rusak ketika mencoba melanjutkan sesi itu ketika V3 dimatikan, atau mungkin mod_nss tidak mengimplementasikannya dengan benar.
Hal-hal java/tomcat tampaknya seperti herring merah karena kecuali saya salah memahami deskripsi Anda, tidak ada satupun yang terlibat dalam handshake/protokol SSL.