This is a multi-part message in MIME format. Qm9uam91ciwKClN1ciB1bmUgaW5zdGFsbCBEZWJpYW4gMTAuMTEgKMOgIGpvdXIpIGF2ZWPC oCBBcGFjaGUgMiwgaidhaSB1biBwZXRpdCAKc291Y2lzIGF2ZWMgU1NMLCBxdWUgamUgdmV1 eCBmYWlyZSDDqWNvdXRlciBzdXIgdW4gcG9ydCBkaWZmw6lyZW50LCBsZSAKODQ0MyBhdSBs aWV1IGR1IHBvcnQgc3RhbmRhcmQgKDQ0MykuCgpBdmVjIGwnaW5zdGFsbCBkZSBiYXNlLCBx dWFuZCBqJ2VudHJlIGRhbnMgbW9uIG5hdmlnYXRldXIgKEZpcmVmb3gpLCAKbCdVUkwgZHUg c2l0ZSAoc2FucyBzcMOpY2lmaWNhdGlvbiBkZSBwb3J0LCBkb25jIGxlIHBvcnQgc3RhbmRh cmQgNDQzKSwgCmplIHRvbWJlIHN1ciBsZSAiZGVmYXVsdC1zc2wiLCBhdmVjIHVuIGNlcnRp ZmljYXQgYXV0b3NpZ27DqSAoZG9uYyAKRmlyZWZveCByb3VzcMOodGUgdW4gcGV1KSBqdXNx dWUgbMOgIE9LLgoKSmUgY29uZmlndXJlIG1vbiBWaXJ0dWFsSG9zdCA6CjxWaXJ0dWFsSG9z dCAqOjg0NDM+CiDCoMKgwqDCoMKgwqDCoCBEb2N1bWVudFJvb3QgL3Zhci93d3cvbGl2ZS8K IMKgwqDCoMKgwqDCoMKgIFNlcnZlck5hbWUgbGl2ZS5tb25kb21haW5lLmZyCgogwqDCoMKg wqDCoMKgwqAgPERpcmVjdG9yeSAvdmFyL3d3dy9saXZlLz4KIMKgwqDCoMKgwqDCoMKgwqDC oMKgwqDCoMKgwqDCoCBPcHRpb25zICtGb2xsb3dTeW1MaW5rcwogwqDCoMKgIMKgwqAgwqAg wqDCoCDCoMKgwqAgQWxsb3dPdmVycmlkZSBBbGwKIMKgwqDCoCDCoMKgwqAgwqDCoMKgIMKg wqDCoCBPcmRlciBhbGxvdyxkZW55CiDCoMKgwqAgwqDCoCDCoCDCoMKgIMKgwqDCoCBBbGxv dyBmcm9tIEFsbAogwqDCoMKgwqDCoMKgwqAgPC9EaXJlY3Rvcnk+CgogwqDCoMKgwqDCoMKg wqAgU1NMRW5naW5lIG9uCiDCoMKgwqDCoMKgwqDCoCBTU0xDZXJ0aWZpY2F0ZUZpbGUgCi9l dGMvbGV0c2VuY3J5cHQvbGl2ZS9saXZlLm1vbmRvbWFpbmUuZnIvY2VydC5wZW0KIMKgwqDC oMKgwqDCoMKgIFNTTENlcnRpZmljYXRlS2V5RmlsZSAKL2V0Yy9sZXRzZW5jcnlwdC9saXZl L2xpdmUubW9uZG9tYWluZS5mci9wcml2a2V5LnBlbQogwqDCoMKgwqDCoMKgwqAgU1NMQ2Vy dGlmaWNhdGVDaGFpbkZpbGUgCi9ldGMvbGV0c2VuY3J5cHQvbGl2ZS9saXZlLm1vbmRvbWFp bmUuZnIvY2hhaW4ucGVtCiDCoMKgwqDCoMKgwqDCoCBTU0xQcm90b2NvbCBhbGwgLVNTTHYy IC1TU0x2MyArVExTdjEuMiArVExTdjEuMwogwqDCoMKgwqDCoMKgwqAgU1NMSG9ub3JDaXBo ZXJPcmRlciBvbgogwqDCoMKgwqDCoMKgwqAgU1NMQ29tcHJlc3Npb24gb2ZmCiDCoMKgwqDC oMKgwqDCoCBTU0xPcHRpb25zICtTdHJpY3RSZXF1aXJlCiDCoMKgwqDCoMKgwqDCoCBTU0xD aXBoZXJTdWl0ZSAKRUNESEUtUlNBLUFFUzEyOC1HQ00tU0hBMjU2OkVDREhFLUVDRFNBLUFF UzEyOC1HQ00tU0hBMjU2OkVDREhFLVJTQS1BRVMyNTYtR0NNLVNIQTM4NDpFQ0RIRS1FQ0RT QS1BRVMyNTYtR0NNLVNIQTM4NDpESEUtUlNBLUFFUzEyOC1HQ00tU0hBMjU2OkRIRS1EU1Mt QUVTMTI4LSQKPC9WaXJ0dWFsaG9zdD4KCkRhbnMgcG9ydHMuY29uZiA6Ckxpc3RlbiA4MAoK PElmTW9kdWxlIHNzbF9tb2R1bGU+CiDCoMKgwqAgTGlzdGVuIDQ0MwogwqDCoMKgIExpc3Rl biA4NDQzIGh0dHBzCjwvSWZNb2R1bGU+CgoKSmUgdsOpcmlmaWUgbGEgY29uZmlnCiMgYXBh Y2hlY3RsIC10ClN5bnRheCBPSwoKSidhY3RpdmUgbGUgbm91dmVhdSBWaXJ0dWFsSG9zdCBh dmVjIGEyZW5zc2l0ZQoKSmUgdmFpcyBkYW5zIG1vbiBuYXZpZ2F0ZXVyIGV0IHF1ZSBqZSBk ZW1hbmRlIGwnVVJMIApodHRwczovL2xpdmUubW9uZG9tYWluZS5mcjo4NDQzLyBsw6Agaidh aSBkcm9pdCDDoCB1biAKU1NMX0VSUk9SX1JYX1JFQ09SRF9UT09fTE9ORwpMZSBzZXJ2ZXVy IMOpY291dGUgYmllbiBzdXIgbGUgcG9ydCA4NDQzLCBtYWlzIHNlbWJsZSByZW52b3llciBk dSBIVFRQICEKClNpIGplIGTDqXNhY3RpdmUgbGUgZGVmYXVsdC1zc2wuY29uZiwgY2VsYSBu ZSBjaGFuZ2UgYWJzb2x1bWVudCByaWVuICEKSidhaSBiZWF1IGNoZXJjaGVyIGV0IHRvdXJu ZXIgbGVzIGNvbmZpZ3MgZGFucyB0b3VzIGxlcyBzZW5zLCBqZSBwYXNzZSBhIApjb3TDqSBk ZSBxdWVscXVlIGNob3NlIC4uLiBzYW5zIGRvdXRlIHRyaXZpYWwgIQpCcmVmIHNpIHZvdXMg YXZleiB1bmUgaWTDqWUgPwoKLS0gCkFsYWluIEpVUElOCkx1bWnDqHJlcyBkJ0ljaSAuLi4g ZXQgZCdBaWxsZXVycyA8aHR0cDovL3d3dy5qdXBpbi5uZXQ+Cg==
<html>
<head>

<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
Bonjour,<br>
<br>
Sur une install Debian 10.11 (à jour) avec  Apache 2, j'ai un petit
soucis avec SSL, que je veux faire écouter sur un port différent, le
8443 au lieu du port standard (443).<br>
<br>
Avec l'install de base, quand j'entre dans mon navigateur (Firefox),
l'URL du site (sans spécification de port, donc le port standard
443), je tombe sur le "default-ssl", avec un certificat autosigné
(donc Firefox rouspète un peu) jusque là OK.<br>
<br>
Je configure mon VirtualHost : <br>
&lt;VirtualHost *:8443&gt;<br>
        DocumentRoot /var/www/live/<br>
        ServerName live.mondomaine.fr<br>
<br>
        &lt;Directory /var/www/live/&gt;<br>
                Options +FollowSymLinks<br>
                AllowOverride All<br>
                Order allow,deny<br>
                Allow from All<br>
        &lt;/Directory&gt;<br>
<br>
        SSLEngine on<br>
        SSLCertificateFile
/etc/letsencrypt/live/live.mondomaine.fr/cert.pem<br>
        SSLCertificateKeyFile
/etc/letsencrypt/live/live.mondomaine.fr/privkey.pem<br>
        SSLCertificateChainFile
/etc/letsencrypt/live/live.mondomaine.fr/chain.pem<br>
        SSLProtocol all -SSLv2 -SSLv3 +TLSv1.2 +TLSv1.3<br>
        SSLHonorCipherOrder on<br>
        SSLCompression off<br>
        SSLOptions +StrictRequire<br>
        SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$<br>
&lt;/Virtualhost&gt;<br>
<br>
Dans ports.conf :<br>
Listen 80<br>
<br>
&lt;IfModule ssl_module&gt;<br>
    Listen 443<br>
    Listen 8443 https<br>
&lt;/IfModule&gt;<br>
<br>
<br>
Je vérifie la config<br>
# apachectl -t<br>
Syntax OK<br>
<br>
J'active le nouveau VirtualHost avec a2enssite<br>
<br>
Je vais dans mon navigateur et que je demande l'URL
<a class="moz-txt-link-freetext" href="https://live.mondomaine.fr:8443/">https://live.mondomaine.fr:8443/</a> là j'ai droit à un
SSL_ERROR_RX_RECORD_TOO_LONG<br>
Le serveur écoute bien sur le port 8443, mais semble renvoyer du
HTTP ! <br>
<br>
Si je désactive le default-ssl.conf, cela ne change absolument rien
!<br>
J'ai beau chercher et tourner les configs dans tous les sens, je
passe a coté de quelque chose ... sans doute trivial !<br>
Bref si vous avez une idée ?<br>
<br>
<div class="moz-signature">-- <br>
Alain JUPIN<br>
<a href="http://www.jupin.net">Lumières d'Ici ... et d'Ailleurs</a></div>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Salut la liste !

Dans un cas comme celui-ci, je réessayerais en commentant ces instructions :

SSLOptions +StrictRequire
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$

car ce sont elles qui posent le plus souvent problème. J'essayerais avec les suites cypher
les moins strictes possibles, puis je les restreindrais petit à petit.

Bonne pioche,

Ph. Gras

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Bonjour,

Merci pour la réponse

Le 21/10/2021 à 22:44, Philippe a écrit :

SSLOptions +StrictRequire
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$

car ce sont elles qui posent le plus souvent problème. J'essayerais avec les suites cypher
les moins strictes possibles, puis je les restreindrais petit à petit.

Bonne pioche,

Ph. Gras

Je viens de (re)faire le test et cela donne toujours la même erreur : SSL_ERROR_RX_RECORD_TOO_LONG

Pour info j'ai essayé en laissant uniquement :
        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/live.mondomaine.fr/cert.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/live.mondomaine.fr/privkey.pem
        SSLCertificateChainFile /etc/letsencrypt/live/live.mondomaine.fr/chain.pem
et j'ai toujours la même erreur !

De même, j'ai tenté de déclaré le VirtualHost de cette façon : <VirtualHost _default_:8443> sans plus d'effet !

Alain JUPIN
Lumières d'Ici ... et d'Ailleurs <http://www.jupin.net>



<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
Bonjour,<br>
<br>
Merci pour la réponse<br>
<br>
Le 21/10/2021 à 22:44, Philippe a écrit :<br>
<blockquote type="cite"
cite="mid:66B27F46-EC39-49E3-8A36-9D60555DD2E7@nanterreasso.org">
<pre class="moz-quote-pre" wrap="">
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap=""> SSLOptions +StrictRequire
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
car ce sont elles qui posent le plus souvent problème. J'essayerais avec les suites cypher
les moins strictes possibles, puis je les restreindrais petit à petit.

Bonne pioche,

Ph. Gras

</pre>
</blockquote>
Je viens de (re)faire le test et cela donne toujours la même erreur
: SSL_ERROR_RX_RECORD_TOO_LONG<br>
<br>
Pour info j'ai essayé en laissant uniquement :<br>
        SSLEngine on<br>
        SSLCertificateFile
/etc/letsencrypt/live/live.mondomaine.fr/cert.pem<br>
        SSLCertificateKeyFile
/etc/letsencrypt/live/live.mondomaine.fr/privkey.pem<br>
        SSLCertificateChainFile
/etc/letsencrypt/live/live.mondomaine.fr/chain.pem<br>
et j'ai toujours la même erreur !<br>
<br>
De même, j'ai tenté de déclaré le VirtualHost de cette façon :
&lt;VirtualHost _default_:8443&gt; sans plus d'effet !<br>
<br>
<div class="moz-signature">Alain JUPIN<br>
<a href="http://www.jupin.net">Lumières d'Ici ... et d'Ailleurs</a></div>
<div class="moz-cite-prefix"><br>
</div>
<br>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Bonjour,

Le 22/10/2021 à 11:30, Greg a écrit :

pourquoi https en plus sur la ligne 8443 ?

En lisant ceci : https://httpd.apache.org/docs/2.4/fr/bind.html <https://httpd.apache.org/docs/2.4/fr/bind.html> section "Spécification
du protocole avec Listen" on y lit :

/Dans la plupart des configurations, le second paramètre optionnel
protocol de la directive Listen n'est pas obligatoire. S'il n'est pas spécifié, les protocoles par défaut sont https pour le port 443, et http pour tous les autres ports. Le protocole sert à déterminer quel module
doit traiter une requête, et à appliquer les optimisations spécifiques
au protocole via la directive AcceptFilter.//
//
//Vous ne devez définir le protocole que si vous travaillez avec des
ports non standards. Par exemple, pour travailler en https sur le port 8443

/Ceci expliquant donc le second paramètre https, mais si je le supprime,
cela ne résous pas mon problème pour autant (je l'avais ajouté justement parce que je pensais que là était le hic)/

/
Alain JUPIN
Lumières d'Ici ... et d'Ailleurs <http://www.jupin.net>

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
Bonjour,<br>
<br>
Le 22/10/2021 à 11:30, Greg a écrit :<br>
<br>
<blockquote type="cite"
cite="mid:20211022113007.418dfaec@bulot-fr.com">pourquoi https en
plus sur la ligne 8443 ? </blockquote>
<br>
En lisant ceci :  <a moz-do-not-send="true"
href="https://httpd.apache.org/docs/2.4/fr/bind.html">https://httpd.apache.org/docs/2.4/fr/bind.html</a>
section "Spécification du protocole avec Listen" on y lit : <br>
<br>
<i>Dans la plupart des configurations, le second paramètre optionnel
protocol de la directive Listen n'est pas obligatoire. S'il n'est
pas spécifié, les protocoles par défaut sont https pour le port
443, et http pour tous les autres ports. Le protocole sert à
déterminer quel module doit traiter une requête, et à appliquer
les optimisations spécifiques au protocole via la directive
AcceptFilter.</i><i><br>
</i><i><br>
</i><i>Vous ne devez définir le protocole que si vous travaillez
avec des ports non standards. Par exemple, pour travailler en
https sur le port 8443<br>
<br>
</i>Ceci expliquant donc le second paramètre https, mais si je le
supprime, cela ne résous pas mon problème pour autant (je l'avais
ajouté justement parce que je pensais que là était le hic)<i><br>
<br>
</i><br>
<div class="moz-signature">Alain JUPIN<br>
<a href="http://www.jupin.net">Lumières d'Ici ... et d'Ailleurs</a></div>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le Thu, 21 Oct 2021 18:43:45 +0200,
JUPIN Alain <ajupin@jupin.net> a écrit :

Dans ports.conf :
Listen 80

<IfModule ssl_module>
    Listen 443
    Listen 8443 https
</IfModule>

pourquoi https en plus sur la ligne 8443 ?

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)