Ну а по теме ты что приготовила?

ну для начала надо спросить себя что особенного бло в твоем Апач-конфиге?

Возможно запрещены какие-то устаревшие протоколы шифрования. Проверь в https://www.ssllabs.com/ssltest/

Ничего, почти дефолтный конфиг.

Проверила оба. Картинка примерно одинаковая, разве что присутствует вот такое:

IE 8 / XP [No FS 1] [No SNI 2] Server sent fatal alert: handshake_failure

Короч шлет твой сервер IE сразу как видит :)

Way to go, girl!

IE7 под Вистой – норм.

Это есть ньепорьядочек!
Серьезно, а зачем поддерживать IE?

Надо ©

Требует руковводство или просто из жалости?

Демагоги дитектед.

Ну, собственно, описание проблемы у тебя есть. Гугли же по нему.

Сорян, гал, дохтора удаленно диагнозы не ставят. Я ставлю на то что в 18,04 новее ssl и там реально что-то старое заблеклистено.

Гуглю, но тут столько знатоков серверного шифрования, что грех было не спросить.

Спроси arts, он любит TLS

Это личное.

Так у тебя не виста, а хопе эж. 8 под вистой значит тоже будет работать.

IE8 и под Нанами работает. Меня просто удивило, что ничего не поменялось в конфигах, а работать перестало.

Чисто между прочим набор криптографии поддерживаемой браузером IE ОЧЕНЬ сильно зависит от версии самой виндоус.

Да.

Это фича. MS так написал, но я не помню деталей почему и почему нельзя было ничего сделать без апгрейда виндовса.

Потомушта IE использует для SSL системный SChannel который прибит гвоздями?

Да всё можно было сделать, MS просто лень.

Скорее не лень, а «переходите на более лучшие версии, а не то хуже будет».

MS обновил Апач, openssl и что ещё там?

Cкорее "Купите винду еще раз, позязя"

Не понимаю вопроса.

МС уже рулит Апачем м опенссл? Все, нам всем хана тогда.

Старая версия сервера – IE8 коннектится. Новая версия сервера – IE8 не коннектится.

Стандарты поменялись, всё просто :}

Ну, 10 до сих пор принимает серийники от 7 и 8. Хотя и не все - раньше принимала OEM, которые общие для всех, теперь только уникальные.

Луркай в сторону openssl, ну. Он же идет с стоковым конфигом в котором прописаны разрешенные шифры. Периодические старые шифры либо выключают либо выкидывают.

Впрочем хз, может у тебя в Апаче Mozilla NSS бэкэндом идет.

Изменились умолчания. Вполне возможно что если ты пропишешь принудительно старый протокол, то всё заработает. А может и нет, можно совсем выкинули то, что считается уязвимым. Тогда можно отключить https.

Либо компилять свой openssl

Давайте без извращений, товарищи.

Извращение - это приделывать к Апачу boringsssl или libressl

Пишут, что что-то удалили из-за какого-то SWEET32. Получается, уязвимость пофиксили не везде.

Голый Апач.

Ну вот пример - Апач с NSS - https://pagure.io/mod_nss

У меня в конфиге все алгоритмы прописаны.
HTTP использовать можно, но не интересно.

В кончиге Апача? Это не поможет если шифр был удален из самого криптомодуля.

Да.

Тебе надо сравнить openssl ciphers в первом и втором сервере

На новом список заметно меньше.

ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:SRP-DSS-AES-256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-DSS-CAMELLIA256-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:CAMELLIA256-SHA:PSK-AES256-CBC-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:SRP-DSS-3DES-EDE-CBC-SHA:SRP-RSA-3DES-EDE-CBC-SHA:SRP-3DES-EDE-CBC-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:ECDH-RSA-DES-CBC3-SHA:ECDH-ECDSA-DES-CBC3-SHA:DES-CBC3-SHA:PSK-3DES-EDE-CBC-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:SRP-DSS-AES-128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-SEED-SHA:DHE-DSS-SEED-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-DSS-CAMELLIA128-SHA:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:SEED-SHA:CAMELLIA128-SHA:PSK-AES128-CBC-SHA:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:RC4-SHA:RC4-MD5:PSK-RC4-SHA:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA

Против:

ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:RSA-PSK-AES256-GCM-SHA384:DHE-PSK-AES256-GCM-SHA384:RSA-PSK-CHACHA20-POLY1305:DHE-PSK-CHACHA20-POLY1305:ECDHE-PSK-CHACHA20-POLY1305:AES256-GCM-SHA384:PSK-AES256-GCM-SHA384:PSK-CHACHA20-POLY1305:RSA-PSK-AES128-GCM-SHA256:DHE-PSK-AES128-GCM-SHA256:AES128-GCM-SHA256:PSK-AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:ECDHE-PSK-AES256-CBC-SHA384:ECDHE-PSK-AES256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:RSA-PSK-AES256-CBC-SHA384:DHE-PSK-AES256-CBC-SHA384:RSA-PSK-AES256-CBC-SHA:DHE-PSK-AES256-CBC-SHA:AES256-SHA:PSK-AES256-CBC-SHA384:PSK-AES256-CBC-SHA:ECDHE-PSK-AES128-CBC-SHA256:ECDHE-PSK-AES128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:RSA-PSK-AES128-CBC-SHA256:DHE-PSK-AES128-CBC-SHA256:RSA-PSK-AES128-CBC-SHA:DHE-PSK-AES128-CBC-SHA:AES128-SHA:PSK-AES128-CBC-SHA256:PSK-AES128-CBC-SHA

Ну вот ты на верном пути. Что-то из того чего нет на новом сервере необходимо IE8

Верный путь – ответ на любимый вопрос русской интеллигенции: что делать?

Опять же, у апача есть целая куча криптомоулей, mod_ssl, mod_gnutls, mod_nss

Надо поц рэди™ ставить.

Сравнить, исключить повторы, выделить список того что удалено, попытаться включить это назад.

поц рэди - это так евреи коммунистов называют?

а он вообще запущен?

Чуть не сказало LOL,а потом вспомнило как само тупило почему изменения настроек не применяются (не перезагрузило)

ну и там соотвественно че как -- ss -nlp, он на порту-то висит?

Да не, у нее сервер работает, у нее openssl обновился и там шифры другие.

ну и вообще голой попой в сеть apache я с начала 2000-ых не ставлю. Это нонсенс какой-то

У вас, красноглазиков, какая-то болезненная акцентуации на голых попах :))))

а. да, пропустил. ну собственно я забыл какие там версии IE. ubuntu 18.01 скорее всего не умеет ниже TLS 1.1, а IE8/XP не умеет выше TLS 1.0. безо всяких шифров

в ubuntu openssl 1.1.0, TLS 1.0 умеет. А, ну собственно смотрим вот сюда: https://httpd.apache.org/do...ent/mod/mod_ssl.html m SSLProtocol, там с 2.4.16 ихменился дефолт на all -SSLv3

Крутые мэны в треде! Все в машину!

Это и есть твой многострадальный сервер?

Нет.

...а я считаю мы должны нещадно бороться с пользователями Internet Exploder, говорил герой Папанова.

Он ещё что-то про петросянов говорил.

Да, что вот на кого собственность записана того она и есть, муахахахах. Что скажешь на это, Вагоныч?

Вот, предположим, Linda-chan навернёт nginx перед Apache — разве там не будет тот же openssl, с теми же ограничениями?

будет. но не придётся лезть в доку apache mod_ssl впервые лет за 15

Linda-chan, используй nginx

Нету бед - один ответ.

Ололо

добавить шифры в поддерживаемые конфигом. для nginx это делается как-то так
https://habr.com/company/yandex/blog/258673/

Затем идет два варианта с шифрованием 3DES: их мы сохраняем в первую очередь для браузеров Internet Explorer на Windows XP с установленным SP3. Internet Explorer использует системную библиотеку Schannel, и в XP с SP3 наконец появилась поддержка 3DES — устаревшего, но все еще устойчивого алгоритма шифрования. Наконец, для несчастных с Internet Explorer 6 на XP мы сохраняем шифры RC4 — других вариантов на этой платформе просто нет. При этом мы осознаем вероятность того, что этот шифр уязвим, поэтому доступен он только в случае хендшейка по протоколу SSLv3. Если клиент подключается с более современным протоколом — TLS 1.0, TLS 1.1 или TLS 1.2 — ciphersuite на основе RC4 не предлагается.

скорее всего тебе нужны эти строки. // но я бы пострался всеми возможными способами закопать win xp, как бы печально это не звучало.

угу. собенно sslv3, которого в openssl 1.1.0 нет. можно хоть удобавляться

а. какие прекрасные страдания у старых форточек. статье уже не один год, да и ssl 3.0 давно пора закапывать. // хотя в sp3 разве не завезли TLS 1.0 хотя бы?

Вангую SP2.

я знаю компьютер, на который нельзя поставить даже sp2. там проц воткнут в материнку, которая его не поддерживает официально и sp2 даже не загружается. а sp1 работает без глюков.

Там что, Арц приписал «Помогите найти другой сервер» к посту?

Ага. Причём так, что только ты этого не видишь!

В конфиге списком записаны конкретные шифры.

Высылай новый компьютер – закопаю :}

Там скриншот в камментах.

Уже TLS 1.3 с ESNI на дворе они они про ssl 3.0...

ну давай вышлю какое-нибудь поделие на целероне/атоме. если на борту 4гб, то они вполне приемлемо тянут win7/debian 9.

на целероне/атоме

Извращенец.

можно ещё найти мать на 775м сокете и воткнуть в неё китайский xeon. тачка получается огонь, я так старый комп проапгрейдил и поставил тестю.
там аналог Q6600, 4 гига рамы и старый ссд.

igelko, старую раму дорого искать

да там ещё ddr2, я без проблем нашёл старые гиговые плашки. две было, две ещё где-то набодяжил рублей за 800 или дешевле.

Ты не умничай, а высылай то, что тянет никитос-интернеты и прочие электроны.

У меня компутер на Атоме, к слову.

Linda-chan, беднаяяяяя...

Мне тоже понравилось БУ железо на Алиэкспрессе.

Иннах.

Linda-chan, да я искренне сочувствую, у меня ноут на атоме был

Ему бы памяти хотя бы гига четыре – огонь был бы.

Linda-chan, нет

Я, без шуток, могу выслать, но ты же оттуда генту снесёшь и винду поставишь.

Зонды не интересуют.

Покорнейше прошу простить мою непонятливость, это значит, что винду ставить не будешь?

А если серьёзно — заведи какой-нибудь кошель, я бы с удовольствием тебе задонатил на нормальный ноут. При условии, конечно, что ты не спалишь потом палку.

Так на официальном сайте.

Том, который в профиле? Он выдает The requested URL was not found on the server. If you entered the URL manually please check your spelling and try again.

Ы. PURL =_=

Перманентненько. Помянем.

Я так и не поняла, за что они меня так.

Я помню, что на твой гофер-сайт ходил, но адерс не помню.

Починила. Арц с Виталиком удолили команду «VCARD» =_=

Только биткоин? Палки нет?

После того как они требовали от меня паспорт...

Пиздос. Я просто так не хочу связываться с этими сраными биржами, что так до сих пор и не разобрался, как битки покупать. У тебя точно альтернативных вариантов нет?

У меня есть Я.Деньги, но там тоже хотят паспорт :} Это засада.

К слову, Палка так и не заблокировала мой профиль. Возможно, выведали паспорт у банка.

Пришли в личку, позязя.

Огромное спасибо, но нет ^^

Linda-chan, Ты так боишься приватных сообщений?)))

Может, у тебя есть доверенный человек, который мог бы послужить пейпал-проксей?

Мне трупы уже некуда прятать.

Ладно, как хочешь. Не могу обещать, что заставлю себя разобраться с битками.

Узбагойся ^^'

Кидайте по номеру карты, ну.

Вы наркоманы дофига же. Линдач туоп идетв Связной или Евросеть и делает там Куку самую простую, ты кидаешь ей лаванду по номеру карты, потом она стягивает с куки на свою карту какая-она-у нее-там.
Альтернативно - идете и делаете Сбер Счет в Почта-Банке. Кидаете по номеру - линдач снимает.
Раньше там можно было пополнять счет без карты в банкомате по номеру договора. но кажется эту фишку прикрыли.

Некудышный из тебя цифровой партизан.

т.е. у тебя основные страдашки происходят на ноутбуке с атомом, на котором 2гб рамы? тогда облом, я свой нетбук на amd (e350+4Гб) продал месяц назад, высылать будет нечего. в принципе он терпимо работал с интернетами, можешь поискать в пределах 5-6к такой.

до 15к оборота им похрен же?

если так хочется анонимности, то надо принимать dash / zerocash, а не битки, которые любой никита отследить может.

Как насчёт Tenno-Seremel?

Почему у тебя слово «Терпеть» попадается через каммент?

Да. Блокируют все операции и не напрягаются.

Мне хочется приватности.

Всё хорошо.

хм. странно. у меня в палке нет никакой авторизации по паспорту/телефону/etc, но небольшие деньги (тыщ по 8-10) туда-сюда ходят без проблем.
// в я.деньгах у меня уже давно идентификация и их карточка, так что проверить не могу.

пять рублей кто-то кинул?

потому что я, можно сказать, только жить начинаю.

тогда тоже лучше туда же.

Я же говорю, палка сначала требовала идентифицироваться, а потом забила. Возможно, прокси помогает. А на Яде всё заморозилось кроме требований нажимать кнопку.

Бугага.

Молодёжжжжжж ©

https://www.blockchain.com/...rwRRfrtx9TZtyvPC1gKH но ведь кинул.

Приватно!

Но при чём тут Tenno-Seremel?

Я сказочно богата! ©

Linda-chan, и купишь себе нормальное железо?

Это скока щас биток стоит, лям?

Toyoku-mono, не, в районе 400 штук, на рубли

Так это кто-то Линде сорокач кинул? Попахивает тайным поклонником.

Toyoku-mono, ну, учитывая ее популярность в качестве автора - она заслуживает.

Возможности не ограничены! ©

ЗАВИСТЬ

Toyoku-mono, ну, так тоже порнорасказы пиши

Мож человек под подушкой майнил с тех времён.

Linda-chan, точно. надо новую криптовалюту создать. фапкоины

Не, не поможет. У меня удача ваще нулевая если шо. Но Линдач остается порадоваться.

Уже придумано Порнохабом.

Toyoku-mono, да тоже неплохо выходит. публикуй де-нить на proza.ru и клянчи донаты

Linda-chan, блядь, хоть USB-крест, для православых админов, еще никто не запотентовал?

Да это *койнов сейчас как говна. Вопрос в том нужны ли они кому нах.

Toyoku-mono, как видишь

Речь не про биток же. Самое забавное. что я уже читало про корреляцию популярности валют с простой реализации их майнинга всякой малварей.
Вот биток сейчас майнинть жабаскриптом нереально, а всякие монеро - да.

Ну, я в одном автобусе видела светодиодный.

Харука ни при чем, а ты подпольный "миллионер".

Главное чтобы не милиционер!

это потому что монеро нельзя майнить на видяхах и асиках, только на CPU. потому и приходится для сколько-нибудь вменяемого заработка раскидывать закладки по сайтам.