Ubuntu-fr

davidnbrett

Interruption arbitraire des connexions sécurisées

Bonjour,

J'administre plusieurs serveurs LAMP de différentes tailles sous Ubuntu 14.04.
Certains de ces serveurs hébergent des données "sensibles" et ont fait plusieurs fois l'objet d'attaque DDOS.

Ces différents serveurs ne sont pas liés et utilisent à la fois des pages web via http et https, à l'aide de certificats valides, produits par deux "certifieurs" officiels différents (un presta par serveur/ndd en général).

Point rapide sur les configs :
- Ubuntu 14.04 Trusty / Apache 2 / MySQL 5
- OpenSSL 1.1.0 dev - libSSL 1.0.0
- UFW (ports 80/443 ok) + divers softs de sécurité (Mod evasive, Fail2ban notamment).

Les serveurs ont tourné nickel pendant des années, mais il y a 48h, une erreur étrange est survenue : l'appel des pages servies en https ont généré une erreur de connexion et les différents navigateurs interprètent l'erreur comme une impossibilité de créer une connexion sécurisée avec le serveur. En relançant les services/rebootant à plusieurs reprises, je constate 50% du temps qu'Apache sert à nouveau les pages correctement, mais la même erreur revient bloquer le service au bout de quelques secondes, ou quelques minutes.

J'ai passé les logs en mode debug et épluché le tout : syslog, erreurs apache, traffic http, traffic https, erreurs https.
Strictement rien a signaler hormis des "notices" PHP habituelles sur différentes applis en service.

J'ai appliqué les dernières MAJ ubuntu (apt-get update/upgrade/dist-upgrade). Sans conséquence.
J'ai upgradé la version LTS d'OpenSSL packagée avec Trusty (1.0.1f) consécutivement dans ces versions suivantes : 1.0.1n, 1.0.2a, puis 1.1.0 dev en les compilant localement. Toujours sans conséquence.

Il ne s'agissait à ce moment là que d'un seul serveur, je me suis donc dis que quelque chose dans la config locale bloquait le tout (revu les vhosts d'Apache, etc.), mais à 8h d'intervalle, j'ai constaté la même erreur sur un serveur différent (bien que tournant avec une config similaire).

Cela fait donc 48h que j'épluche le problème dans tous les sens, et les très récents patchs d'OpenSSL ne m'ont donné que de faux espoirs...

Bref je suis un peu désespéré.
Quelqu'un verrait-il une direction dans laquelle creuser pour diagnostiquer le problème ?

Merci !

voxdemonix

Re : Interruption arbitraire des connexions sécurisées

Ces différents serveurs ne sont pas liés et utilisent à la fois des pages web via http et https, à l'aide de certificats valides, produits par deux "certifieurs" officiels différents (un presta par serveur/ndd en général).

Les serveurs ont tourné nickel pendant des années,

Vérifie que les certificats SSL n'ont pas expiré (ptete trop vieux)

davidnbrett

Re : Interruption arbitraire des connexions sécurisées

Merci de ta réponse !
Hélas les certificats courent toujours, et aucune erreur n'est présente (côté navigateurs) sur la validité des chaînes.

Dernière modification par davidnbrett (Le 12/06/2015, à 14:58)

davidnbrett

Re : Interruption arbitraire des connexions sécurisées

Au vu de l'absence d'éléments dans les logs, je cherche une cause externe.
Il est probable que cette erreur ne soit pas liée à Ubuntu ni à un soft tiers (bien que la MaJ d'OpenSSL n'apparaisse pas facultative).

bruno

Re : Interruption arbitraire des connexions sécurisées

Bonjour,

Cela n'a peut-être rien à voir, mais hier j'ai eu de nombreux problèmes de connexion à différents sites et je n'était pas le seul :
http://www.lemonde.fr/pixels/article/20 … 08996.html

Sinon je suis tombé récemment sur cet article concernant SSH et l'entropie. Je me demande si cela n'aurait pas une influence dans ton cas.

Vu ce que tu décris, sois tes serveurs on une configuration TLS incompatible avec certains navigateurs (mais dans ce cas le problème serait systématique), soit il y a un problème lors d'une des différentes phase d'établissement de la connexion TLS. Cela vaut le coup de tester la connexion avec :

openssl s_client -connect ton_serveur:443