Une erreur lors de la négociation SSL avec le serveur distant empêchera le client de communiquer avec un serveur, ce qui rendra un service en ligne ou une application Web inaccessible.
Il s’agit d’un problème majeur si vous hébergez un service en ligne, il est donc crucial de résoudre le problème le plus rapidement possible. Dans ce guide, nous allons vous montrer quelques façons de résoudre ce problème.
Qu’est-ce qu’une erreur lors de la négociation SSL avec le serveur distant ?
- Ce message d’erreur se produit lorsqu’un client ne parvient pas à établir une connexion sécurisée avec le serveur, donnant ainsi une erreur de prise de contact.
- La cause la plus courante de ce problème concerne les paramètres SSL de votre serveur, ainsi que les certificats expirés.
- Si le serveur et le client n’utilisent pas les mêmes protocoles, vous risquez d’obtenir cette erreur.
Comment puis-je corriger l’erreur lors de la négociation SSL avec le serveur distant ?
- Forcez le proxy à définir la compression sur aucune. Cela peut être utile si le proxy ne fonctionne pas avec gzip.
- Configurez l’application pour qu’elle utilise HTTP en interne. Cela s’applique uniquement si vous utilisez un serveur local à des fins de test.
1. Modifier les paramètres d’Apache
- Ouvrez l’outil de ligne de commande et accédez au serveur.
- Exécutez maintenant la commande suivante :
sudo nano /etc/apache2/sites-available/your-site.conf
- Assurez-vous que les lignes suivantes sont disponibles dans le fichier de configuration :
SSLProxyEngine onSSLProxyVerify noneSSLProxyCheckPeerCN offSSLProxyCheckPeerName offSSLProxyCheckPeerExpire off
- Sauvegarder les modifications.
2. Vérifiez les protocoles autorisés
- Ouvrez la ligne de commande et exécutez la commande suivante : sudo nano /etc/apache2/sites-available/your-site.conf
- Ensuite, configurez la valeur comme suit :
SSLProxyProtocol all -SSLv2 -SSLv3 -TLSv1
- Sauvegarder les modifications.
- Si vous rencontrez toujours des problèmes, assurez-vous que les valeurs de SSLProxyCipherSuite sont correctement définies.
3. Générez à nouveau le certificat auto-signé
- Redémarrez le terminal.
- Une fois connecté au serveur, exécutez ce qui suit :
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ssl.key -out ssl.crt
- Cela générera le nouveau certificat pour votre serveur.
Cette méthode fonctionne si vous avez préalablement généré un certificat auto-signé sur le serveur.
4. Modifiez le fichier rproxy.conf
- Ouvrez le terminal et exécutez la commande suivante :
nano rproxy.conf
- Assurez-vous d’ajouter la ligne suivante :
SetEnv proxy-sendchunked 1
- Sauvegarder les modifications.
Conseils pour éviter les erreurs lors de la négociation SSL
- Assurez-vous que le certificat SSL fourni par le serveur est valide et vérifiez les certificats intermédiaires de la chaîne. Essayez d’utiliser des certificats émis par une autorité de certification de confiance.
- Assurez-vous que le nom commun et le nom alternatif du sujet du certificat correspondent au nom d’hôte.
- Vérifiez les protocoles et assurez-vous que le client et le serveur utilisent des versions de protocole compatibles. Vérifiez également la configuration SSL/TLS du serveur et du client.
- Gardez les bibliothèques SSL à jour à tout moment.
- Assurez-vous que votre pare-feu ne bloque pas le port 443 qui est utilisé pour SSL/TLS.
Ces étapes devraient vous aider à corriger Le serveur proxy n’a pas pu gérer la raison de la demande : erreur lors de la négociation SSL avec le serveur distant. Dans la plupart des cas, le problème est lié à la configuration d’Apache et vous devez ajuster les paramètres de votre serveur en conséquence.
Si vous ne corrigez pas cette erreur, vous recevrez le code d’erreur SSL 1 ou le message SSL_error_handshake_failure_alert dans votre navigateur. En raison de problèmes avec SSL, beaucoup ont signalé que Chrome indique qu’il n’est pas sécurisé même si le certificat est valide , mais cela peut être facilement résolu.
Avez-vous réussi à résoudre ce problème ? Si tel est le cas, partagez avec nous quelle solution a fonctionné pour vous.
Laisser un commentaire