Termos mais procurados:
Isto aqui é o esperado mesmo com mTLS:
Em termos... na hora que o mTLS estiver habilitado, vai dar erro. Pq o SSLTest não tem a CA da Gerencianet para fazer uma requisição.
Multiviews desligado, mas sem efeito, continua com erro 300
Fiz o teste em https://www.ssllabs.com/ssltest/analyze.html?d=webhookyoudo.cloudns.nz e não está mais gerando aquele erro de anterioremente, já é um progresso, rs
saída do meu apachectl -S
VirtualHost configuration:
:80 ip-172-31-31-61.ec2.internal (/etc/apache2/sites-enabled/000-default.conf:1)
:443 webhookyoudo.cloudns.nz (/etc/apache2/sites-enabled/webhookyoudo.conf:2)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex mpm-accept: using_defaults
Mutex watchdog-callback: using_defaults
Mutex rewrite-map: using_defaults
Mutex ssl-stapling-refresh: using_defaults
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
Define: MODSEC_2.5
Define: MODSEC_2.9
User: name="www-data" id=33
Group: name="www-data" id=33
o padrao do apache default-ssl.conf
eu alterei os arquivos padrão do apache, etc/apache2/apache2.conf, etc/apache2/sites-available/000-default.conf e default-ssl.conf
essa 'a minha saida do dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-==================-============-============================>
ii openssl 1.1.1f-1ubuntu2.16 amd64 Secure Sockets Layer toolkit>
O que o SSLTest sugere é que a configuração que você está alterando não seja a configuração em uso:
https://www.ssllabs.com/ssltest/analyze.html?d=webhookyoudo.cloudns.nz
Se for a versão com backports de bug fixes do Ubuntu tá ok:
dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-==================-============-============================>
ii openssl 1.1.1f-1ubuntu2.16 amd64 Secure Sockets Layer toolkit>
Esta: OpenSSL 1.1.1f 31 Mar 2020
Que versão do OpenSSL está instalada ?
ServerAdmin webmaster@localhost
ServerName webhookyoudo.cloudns.nz
ServerAlias www.webhookyoudo.cloudns.nz
DocumentRoot /home/ubuntu/www
ErrorLog ${APACHE_LOG_DIR}/webhook.error.log
CustomLog ${APACHE_LOG_DIR}/webhook.access.log combined
SSLEngine on
SSLProtocol -all +TLSv1.2
SSLCertificateFile /etc/letsencrypt/live/webhookyoudo.cloudns.nz/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/webhookyoudo.cloudns.nz/privkey.pem
#Chave pública da Gerencianet
SSLCACertificateFile /home/ubuntu/www/cert/chain-pix-prod.crt
# mTLS Gerencianet
SSLVerifyClient require
SSLVerifyDepth 3
# Tratando o /pix, redirecionando as requisições sempre para /webhook
Alias "/pix/" "/home/ubuntu/www/index.php"
Alias "/pix" "/home/ubuntu/www/index.php
oi dois... pq nginx só vai responder 403 quando não conseguir validar o ssl com o cliente... quando ele conseguir, ele vai passar pra aplicação via proxy_pass...
Comprei um certificado simples SSL
Estou utilizando servidor próprio, gerei certificados em GoGetSSL
O certificado no SSLTest da SSL Labs aparece como estando certo...
O certificado é AWS, não Let's Encrypt:
https://www.ssllabs.com/ssltest/analyze.html?d=pix.awworker.com
a única explicação é o ssl do domínio, já tentei de tudo e não adianta, esse meu servidor é na Umbler e uso o Let's Encrypt.
Mesmo pulando a etapa de verificação mTLs esta sendo retornado: ERR_TLS_CERT_ALTNAME_INVALID
Aparentemente, é uma falha ligada ao certificado SSL do dominio.
Vou ver se consigo replicar o cenário que vocês estão tendo aqui pra ver o que pode ser.
Pelo que diz aí, seria um certificado emitido pelo AWS. E quem já teve esse problema e postou o domínio aqui testou com o SSLTest e pelo SSL Test está tudo certo.
