Docela otrava, když to nejede, že? Nahodili jste SSL certifikát, ale stránka stále nejde?

SSL_ERROR_RX_RECORD_TOO_LONG

Příkazem:

apachectl -t -D DUMP_VHOSTS

VirtualHost configuration:
95.95.95.95:80       is a NameVirtualHost
         default server doména.doména.cz (/etc/apache2/sites-enabled/doména.doména.cz.conf:6)
         port 80 namevhost doména.doména.cz (/etc/apache2/sites-enabled/doména.doména.cz.conf:6)
                 alias www.doména.doména.cz
         port 80 namevhost jinádoména.cz (/etc/apache2/sites-enabled/jinádoména.cz.conf:6)
                 alias jinádoména.cz
*:80                   ještějinádoména.cz (/etc/apache2/sites-enabled/000-default.conf:1)

A tady můžeme vidět problém, že nám chybí ssl verze na portu 443, proto klienta neobsloužil 443 SSL verze serveru, ale jen ta, co běží na portu 80.

Uživatel pak na takové stránce obdrží error: SSL_ERROR_RX_RECORD_TOO_LONG

Řešení SSL_ERROR_RX_RECORD_TOO_LONG

je nutné vytvořit v /etc/apache2/sites-available/doména.doména.cz-le.conf

A jejím obsahem bude něco takového:

<IfModule mod_ssl.c>
#<VirtualHost domena.doména.cz:443>
<VirtualHost *:443>
  Serverdomena domena@doména.cz
  ServerName   domena.doména.cz
  ServerAlias   www.domena.doména.cz
  ErrorLog /var/log/apache2/domena-domena-cz-error.log
  CustomLog /var/log/apache2/domena-domena-cz-access.log combined

RewriteEngine on
<Directory /var/www/html>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                require all granted
   </Directory>


SSLCertificateFile /etc/letsencrypt/live/domena.doména.cz/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/domena.doména.cz/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCipherSuite 'DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA'
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder on

</VirtualHost>
</IfModule>

Pak stačí zadat příkaz

a2ensite doména.doména.cz-le.conf
systemctl reload apache2
a pokud neproběhl certbot, tak vyzkoušíme na neostro:

certbot -d domena.doména.cz –dry-run
Případně:

certbot certonly -d domena.doména.cz –dry-run

Anebo, pokud už doména někdy byla na stroji a je potřeba ji jen prodloužit a ověřit, že by to prošlo, ať nevyplýtváme 5 pokusů a certbot nás neblokne:

certbot certonly -d domena.doména.cz –dry-run

Stejné příkazy pak udělají, co mají, když z toho odeberete –dry-run.

zdroj