So. Pro 21st, 2024
schéma popisku jak funguje HTTP nezabezpečené a HTTPS zabezpečené spojení

Docela otrava, když to nejede, že? Nahodili jste SSL certifikát, ale stránka stále nejde?

SSL_ERROR_RX_RECORD_TOO_LONG

Příkazem:

apachectl -t -D DUMP_VHOSTS

VirtualHost configuration:
95.95.95.95:80       is a NameVirtualHost
         default server doména.doména.cz (/etc/apache2/sites-enabled/doména.doména.cz.conf:6)
         port 80 namevhost doména.doména.cz (/etc/apache2/sites-enabled/doména.doména.cz.conf:6)
                 alias www.doména.doména.cz
         port 80 namevhost jinádoména.cz (/etc/apache2/sites-enabled/jinádoména.cz.conf:6)
                 alias jinádoména.cz
*:80                   ještějinádoména.cz (/etc/apache2/sites-enabled/000-default.conf:1)

A tady můžeme vidět problém, že nám chybí ssl verze na portu 443, proto klienta neobsloužil 443 SSL verze serveru, ale jen ta, co běží na portu 80.

Uživatel pak na takové stránce obdrží error: SSL_ERROR_RX_RECORD_TOO_LONG

Řešení SSL_ERROR_RX_RECORD_TOO_LONG

je nutné vytvořit v /etc/apache2/sites-available/doména.doména.cz-le.conf

A jejím obsahem bude něco takového:

<IfModule mod_ssl.c>
#<VirtualHost domena.doména.cz:443>
<VirtualHost *:443>
  Serverdomena domena@doména.cz
  ServerName   domena.doména.cz
  ServerAlias   www.domena.doména.cz
  ErrorLog /var/log/apache2/domena-domena-cz-error.log
  CustomLog /var/log/apache2/domena-domena-cz-access.log combined

RewriteEngine on
<Directory /var/www/html>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                require all granted
   </Directory>


SSLCertificateFile /etc/letsencrypt/live/domena.doména.cz/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/domena.doména.cz/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCipherSuite 'DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA'
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder on

</VirtualHost>
</IfModule>

Pak stačí zadat příkaz

a2ensite doména.doména.cz-le.conf
systemctl reload apache2
a pokud neproběhl certbot, tak vyzkoušíme na neostro:

certbot -d domena.doména.cz –dry-run
Případně:

certbot certonly -d domena.doména.cz –dry-run

Anebo, pokud už doména někdy byla na stroji a je potřeba ji jen prodloužit a ověřit, že by to prošlo, ať nevyplýtváme 5 pokusů a certbot nás neblokne:

certbot certonly -d domena.doména.cz –dry-run

Stejné příkazy pak udělají, co mají, když z toho odeberete –dry-run.

zdroj

Avatar

By mirra

Hardwaru a počítačům se věnuji již od roku 2003. Za tu dobu jsem poskládal stovky počítačů, opravil tisíce počítačů a vyřešil nespočetně problémů, vad a chyb, se kterými se setkávali uživatelé. Od roku 2005 se zabývám servery, zejména těmi herními, v roce 2007 jsem se začal věnovat Valve Source SDK level designu, který šel od roku 2009 k ledu kvůli studiu Informatiky na univerzitě. Podílel jsem se chvíli i na provozu síťové laboratoře MENDELU, dnes spravuji v jedné osobě cca 100 serverů/diskových polí na univerzitě, řeším IT v malých a středních firmách tak, aby firmy ušetřily nemalé částky při zlepšení kvality a soustředím se na snižování nákladů na IT od licencí až po hardware, software, provádím konsolidace a audity platnosti licencí, které firmám šetří rovněž nemalé peníze. Z velkých firem jsem měl příležitost s dalšími kolegy řešit správu 8000 serverů po celé západní Evropě s vysokou mírou automatizace a poznávání nejrůznějších evropských pracovních mentalit. Dále jsem řešil hybridní cloud ve velké firmě, orientované na trhy střední a východní Evropy. Posledních několik let se věnuji Devops pro velké zákazníky v Azure cloudu, spravuji kubernetes (AKS), Gitlab.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *