Сбой Apache с короткими всплесками трафика
Наш сервер Apache дает сбой всякий раз, когда у нас возникают короткие всплески трафика (200+ пользователей одновременно). Мы должны вручную перезапустить его, чтобы вернуть в онлайн.
Я надеюсь выяснить некоторые общие проблемы, которые мы могли бы изучить, чтобы решить эту проблему. 2
ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2
Раньше это работало нормально, пока кто-то не пытался подключиться к iPhone, который жалуется, что сервер не отвечает, и я вижу соответствующие сообщения журнала на сервере:
imap-login: Error: SSL: Stacked error: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
Я понял, что он работает нормально, если я разрешаю TLSv1 . Это по-настоящему? Я нашел, что другие люди жалуются на это ( http://www.clift.org/fred/frustration-with-apple-mail-app-on-ios-and-yosemite.html ), но я могу » я действительно в это верю. Пожалуйста, скажите мне, что я упускаю что-то очевидное. html ), но я не могу в это поверить. Пожалуйста, скажите мне, что я упускаю что-то очевидное. html ), но я не могу в это поверить. Пожалуйста, скажите мне, что я упускаю что-то очевидное.
Поддерживается ли TLSv1.2 , например, только со специальными шифрами?
Вот моя конфигурация ssl для завершения:
$ egrep -v "^#|^$" /etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_cert = </etc/ssl/my_certs/mail.xyz.tld.crt
ssl_key = </etc/ssl/my_certs/mail.xyz.tld.key
ssl_dh_parameters_length = 2048
ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2
ssl_cipher_list = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
ssl_prefer_server_ciphers = yes
Пожалуйста, разбудите меня и скажите, что это просто дурной сон .. .
Спасибо за вашу помощь!
Хотел бы я ущипнуть тебя, чтобы разбудить, но, к сожалению, это не сон. Приложение iOS Mail не может говорить позже TLSv1. Даже 1.1 (по PCI это нормально) Apple действительно уронила мяч на этот раз. Почтовое приложение поддерживает TLS1.1 и 1.2 для SMTP, но не POP3 или IMAP. Похоже, что люди жаловались Apple на это в течение, по крайней мере, года, но пока что безрезультатно
.