SNI问题
如果出现特定的一些客户端或应用程序不能正常访问HTTPS业务,提示“SSL handshake failed/error”或者证书不可信,则很可能是客户端不支持SNI引起的。
这些客户端或应用程序可能是旧版本的安卓,低版本JAVA开发的一些调用程序(特别是使用SSL协商的程序)、XP系统的IE浏览器、某些老款手机,以及第三方的支付回调接口等。
目前,绝大部分的浏览器和应用程序回调接口等都已全面支持SNI。如果将解析切换回源站就恢复正常,切换到WAF就异常,则可能是这个问题。建议升级相关的客户端,或者将回调接口直接解析回源。
Windows Server 2003/IIS6主机
Windows Server 2003/IIS6主机在接入WAF后,访问HTTPS业务会出现白屏和502现象。这是因为系统TLS版本和加密套件过旧,安全性太弱,与WAF默认的HTTPS回源算法不兼容。目前,服务商不再支持对2003系统的HTTPS回源,微软官方也已不建议使用2003系统搭建HTTPS站点。为了网站的通信安全,请升级至2008或以上的操作系统。
DH密钥太短导致链接失败
因为过短的DH(Diffie-Hellman)密钥存在安全问题,WAF已经停止对短密钥的支持。同样的,当您使用较新版本的火狐浏览器(如51.0.1)不经过WAF访问源站,也会看到相应的报错信息。请升级相关组件(如JDK版本),确保主机DH算法的key位数为2048 bit 或更大。
提示:现在腾讯云新人点击注册然后实名认证后,可以点此一键领取2860元代金券,然后点此进入腾讯云活动页面参加优惠力度非常大的腾讯云3年和5年时长服务器活动,一次性买多年,免得续费贵,这样就可以获得最大的优惠折扣,省钱。
版权声明:xxxxxxxxx;
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态
