|
||
|
Major Member
 加入日期: Aug 2002
文章: 239
|
firefox 59.0.2 SSL_ERROR_NO_CYPHER_OVERLAP 求解
firefox 59.0.2 連 www.tnpd.gov.tw 發生錯誤,無法開啟
SSL_ERROR_NO_CYPHER_OVERLAP 有人跟我狀況一樣嗎? 麻煩幫我測一下。 IE, Chrome 正常 |
|||||||
2018-04-24, 04:32 PM
#1
|
|
|
Master Member
  加入日期: Jun 2002
文章: 2,332
|
引用:
因為firefox沒有內建台灣政府的GCA二代root憑證吧? 請到 http://grca.nat.gov.tw/01-05.html 下載並安裝相關root憑證就能用了.
__________________
Es muss sein! |
|||
|
2018-04-24, 05:27 PM
#2
|
|
|
Major Member
加入日期: Aug 2002
文章: 239
|
引用:
還是不行。 安裝方式是照這篇 http://blog.ilc.edu.tw/blog/blog/25...st/72384/536350 我原先也是懷疑是GCA憑證問題, 但是昨天開始才沒辦法用firefox開啟 tnpd.gov.tw,之前都可以,而且其他政府網站我也沒遇到問題過 |
|
|
2018-04-24, 07:37 PM
#3
|
|
|
Elite Member
加入日期: May 2002 您的住址: 板橋
文章: 5,100
|
鵝用一般常用的SSL測試網站都無法完成測試,但Win7的IE11是可以連上的,比較像是www.tnpd.gov.tw的中繼憑證沒放好,而SSL測試網站被tnpd.gov.tw或GSN的IDS/IPS認為有攻擊的嫌疑而擋掉了,所以才無法完成測試的
 ....
__________________
士大夫之無恥,是謂國恥  ....
|
|
2018-04-25, 08:21 AM
#4
|
|
|
Elite Member
加入日期: May 2002 您的住址: 板橋
文章: 5,100
|
鵝測了一下自己的玩具(目前放的是Let's Encrypt的免費憑證
 ),正常的測試結果應該像這樣 ....此文章於 2018-04-25 08:31 AM 被 cmwang 編輯. |
|
2018-04-25, 08:29 AM
#5
|
|
|
Master Member
加入日期: Jun 2002
文章: 2,332
|
嗯!Firefox在先前版本已經提高TLS的安全性在設定檔裡面
security.tls.version.min預設已經是1,不過樓主這個問題 似乎就算改成0也是過不了....剛剛測試了一下真的不行
__________________
Es muss sein! |
|
2018-04-25, 09:55 AM
#6
|
|
|
Elite Member
加入日期: May 2002 您的住址: 板橋
文章: 5,100
|
鵝實際用IE和Firefox連,可以看到IE支援的cipher suite共26種(IE和Chrome都是吃Windows本身的SSL/TLS library),而Firefox只有15種(Firefox是吃自己帶的SSL/TLS library的,而且把目前一般認為比較弱的cipher拿掉了
),而用Openssl的s_client去連是連成ECDHE-RSA-AES256-GCM-SHA384,照說沒有特別exclude掉某些cipher的話Firefox支援的那15種應該可以連上絕大部份HTTPS server,所以不是HTTPS server,就是IDS/IPS config造成的影響吧.... |
|
2018-04-25, 10:47 AM
#7
|
|
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 6,968
|
應該不是網站安全性太低導致的問題
感覺是有甚麼東西設錯或沒設導致 因為我安裝憑證後,跟這裡提供的憑證 兩者的憑證過期日差太多年 http://grca.nat.gov.tw/01-05.html 代碼:
rDNS record for 163.29.120.113: 163-29-120-113.HINET-IP.hinet.net PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | SSLv3: | ciphers: | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong | TLS_RSA_WITH_RC4_128_SHA - strong | compressors: | NULL | TLSv1.0: | ciphers: | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong | TLS_RSA_WITH_RC4_128_SHA - strong | compressors: | NULL | TLSv1.1: | ciphers: | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong | TLS_RSA_WITH_RC4_128_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong | TLS_RSA_WITH_RC4_128_SHA - strong | compressors: | NULL |_ least strength: strong
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3  I Always Get What I Want. |
|
2018-04-25, 10:49 AM
#8
|
|
|
Elite Member
加入日期: May 2002 您的住址: 板橋
文章: 5,100
|
鵝剛才發現,光Apache和OpenSSL的版本就可以被弱掃掃不完了,他們沒接過行政院或警政署的公文媽
 .... |
|
2018-04-25, 11:25 AM
#9
|
|
|
Junior Member
加入日期: Jan 2002
文章: 853
|
引用:
感覺 GCA 憑證發得七零八落,亂七八糟的,前幾個月也處理過類似的問題。有沒有網兄可以給大家解說一下現在 GCA 憑證發放的情況究竟是如何?市面上兩代的根憑證打算如何運作呢? |
|
|
2018-04-25, 01:41 PM
#10
|
|
