J'essaie de wget
à ma propre boîte, et ce ne peut pas être une adresse interne dans le wget (ainsi dit un autre développeur).
Quand je wget, je reçois ceci:
wget http://example.com
--2013-03-01 15:03:30-- http://example.com/
Resolving example.com... 172.20.0.224
Connecting to example.com|172.20.0.224|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://www.example.com/ [following]
--2013-03-01 15:03:30-- https://www.example.com/
Resolving www.example.com... 172.20.0.224
Connecting to www.example.com|172.20.0.224|:443... connected.
OpenSSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Unable to establish SSL connection.
Je pense que c’est parce que je n’ai pas correctement configuré le certificat. Utiliser openssl:
openssl s_client -connect example.com:443
CONNECTED(00000003)
15586:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:588:
Tandis que si je fais la même commande sur un autre site, il affiche l'intégralité du cert.
Peut-être que le certificat SSL n'a jamais été configuré dans le fichier de configuration sur Apache pour ce domaine?
Si oui, que devrais-je spécifier dans le virtualhost? Existe-t-il une alternative autre que spécifier --no-check-certificate
parce que je ne veux pas faire cela?
SSL23_GET_SERVER_HELLO: protocole inconnu
Cette erreur se produit lorsque OpenSSL reçoit autre chose qu'une ServerHello
dans une version de protocole comprise du serveur. Cela peut arriver si le serveur répond avec un HTTP simple (non chiffré). Cela peut également arriver si le serveur ne prend en charge que, par exemple, TLS 1.2 et le client ne comprennent pas cette version du protocole. Normalement, les serveurs sont rétro-compatibles avec au moins SSL 3.0/TLS 1.0, mais peut-être que ce serveur spécifique ne l’est pas (par implémentation ou configuration).
Il est difficile de savoir si vous avez tenté de transmettre --no-check-certificate
ou non. Je serais plutôt surpris si cela fonctionnerait.
Un simple test consiste à utiliser wget
(ou un navigateur) pour demander http://example.com:443
(notez le http://
et non le https://
); Si cela fonctionne, SSL n’est pas activé sur le port 443. Pour procéder au débogage, utilisez openssl s_client
avec l’option -debug
qui, juste avant le message d’erreur, vide les premiers octets de la réponse du serveur qu’OpenSSL n’a pas pu analyser. Cela peut aider à identifier le problème, surtout si le serveur ne répond pas avec un message ServerHello
. Pour voir ce que OpenSSL attend exactement, vérifiez la source: recherchez SSL_R_UNKNOWN_PROTOCOL
dans ssl/s23_clnt.c
.
Dans tous les cas, consulter le journal des erreurs Apache peut également fournir des informations utiles.
Dans mon cas, je n'avais pas activé le site 'default-ssl'. Seul '000-default' était répertorié dans le dossier /etc/Apache2/sites-enabled
.
Activer le site SSL sur Ubuntu 14 LTS, Apache 2.4.7:
a2ensite default-ssl
service Apache2 reload
Juste une note rapide (et cause possible).
Vous pouvez avoir une configuration VirtualHost
parfaitement correcte avec _default_:443
etc. dans votre fichier .conf Apache.
But ... S'il existe même un fichier .conf activé avec des paramètres incorrects et qui écoute également le port 443, l'ensemble du système SSL sera alors mis hors service.
Par conséquent, si vous êtes certain que votre fichier .conf est correct, essayez de désactiver les autres fichiers .conf du site dans sites-enabled
.
Il y a quelques possibilités:
Pour commencer, pour éliminer (3), que se passe-t-il si vous utilisez un telnet sur ce port?
En supposant que ce ne soit pas (3), alors, en fonction de vos besoins, vous pourrez peut-être ignorer ces erreurs et simplement passer --no-certificate-check. Vous voudrez probablement utiliser un navigateur standard (qui généralement regroupera directement les certificats racine) et voir si tout va bien.
Si vous souhaitez vérifier manuellement le certificat, publiez plus de détails à partir de la sortie openssl s_client
. Ou utilisez openssl x509 -text -in /path/to/cert
pour l’imprimer sur votre terminal.
J'ai eu ce problème lors de la configuration d'une nouvelle instance EC2. Je n'avais pas ajouté HTTPS à mon groupe de sécurité et le port 443 n'était donc pas ouvert.
Pour moi, un nom DNS de mon serveur a été ajouté à/etc/hosts et a été mappé sur 127.0.0.1, ce qui a entraîné:
SL23_GET_SERVER_HELLO: protocole inconnu
Supprimer le mappage de mon vrai nom DNS en 127.0.0.1 a résolu le problème.
Ce problème ne m'est arrivé que dans des cas particuliers, lorsque j'ai appelé le site Web de certains fournisseurs d'accès Internet,
J'ai configuré uniquement ip v4 dans la configuration de VirtualHost d'Apache, mais certains routeurs utilisent ip v6. Lorsque j'ai ajouté ip v6 à Apache, le problème a été résolu.
Je rencontre la même question. Le port 443 n'était pas ouvert à Centos.
Vérifiez le port 443 avec la commande suivante:
Sudo lsof -i tcp: 443
Dans la première ligne de /etc/httpd/conf.d/ssl.conf ajoutez ces deux lignes:
LoadModule ssl_module modules/mod_ssl.so
Listen 443