Jump to content

Проблемы с TLS на Safari

d00

By d00
in У нага

 Share

Recommended Posts

d00

d00

Posted
Posted

Примерно с 4 апреля в тех. поддержку начали поступать жалобы на недоступность нашего сайта при использовании браузера Safari на маках и ифонах с iOS < 26.

Раздобыли макбук для тестирования - в Safari проблема воспроизводится, но curl те же самые запросы выполняет без проблем.

Смотрю tcpdump от Safari - после отправки "Client Hello" вижу несколько retransmission-ов и сброс соединения - https://pvision.ru/download/misc/tmp/dump-01.01.01-fail.pcap

Содержимое "Client Hello" Safari и curl отличается набором алгоритмов шифрования и поддерживаемых версий TLS, повлиять на эти параметры у клиентов я не могу.

Но могу изменить поле "server_name", на сервере кроме короткого 5.375.ru добавляю еще одно длинное - test-test-test-test-test-test-test-test-test-test.dc1.pvision.ru и оказывается что при использовании длинного имени все начинает работать. Проверяю с другим коротким именем 3.375.ru - проблема та же что и с 5.375.ru

Похожую проблему видел на https://forum.ixbt.com/topic.cgi?id=14:68542

Первое подозрение на странную работу ТСПУ, но возможно и у нас самих что-то не так настроено. Есть идеи как можно решить эту проблему каким-то другим способом?

naves

naves

Posted
Posted (edited)

пальцем в небо потолок, попробуйте поставить на nginx сертификат только с одним DNS-хостом для нужного server_name

3.375.ru тоже не открывается

проверил с iphone

Edited by naves
straus

straus

Posted
Posted
7 часов назад, d00 сказал:

Проверяю с другим коротким именем 3.375.ru - проблема та же что и с 5.375.ru

Добавь для пробы к цифрам по одной букве. Например h3.h375.ru

naves

naves

Posted
Posted (edited)
3 hours ago, sirmax said:

Отлично работает 

теперь работает)
а вот сайт автора темы никому не нужен, малый бизнес должен умереть вслед за провайдерами)

хотя на https://geoip.noc.gov.ru/

его ip адрес это Екатеринбург.

Возможно можно через хостера обратиться в РКН, чтобы хостер пожаловался, и оно потом, волшебным образом может тихо починиться.

 

судя по тому, что трафик оптимизируется после нескольких скачанных килобайт, то можно на nginx сделать костыль в виде редиректа 

if ($http_user_agent ~* "Safari") {
	return 302 'for-apple-mirror-version-longhostname.domain.com';
}

 

Edited by naves
d00

d00

Posted
  • Author
Posted
13 часов назад, naves сказал:

теперь работает)

спасибо тайному читателю из РКН
 

 

13 часов назад, naves сказал:

сайт автора темы никому не нужен, малый бизнес должен умереть вслед за провайдерами

кино и театра тоже не будет? будет одно сплошное... что?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.