Nginx client time out while SSL handshaking

发布于 2022-09-07 04:20:51 字数 1870 浏览 13 评论 0

2018/03/16 13:29:25 [info] 24306#24306: *3 client timed out (110: Connection timed out) while SSL handshaking, client: x.x.x.x, server: 0.0.0.0:443

在 nginx 的错误日志里看到这个报错,奇怪的是 nginx 的 log level 显示这是个 [info] 级别的。
然而我在某些 IP 下无法连上网站,但是神奇的是我用代理就能连上,在多数网络下直连是可以连上的,这是什么原因呢?
我测试过应该和后端无关,即使只是静态页面也是这样。

nginx 的 ssl 配置:

server {
    listen *:443 ssl http2;
    listen [::]:443 ssl http2;
    server_name xxx.com;

    ssl on;
    ssl_certificate /ssl/letsencrypt/chained.pem;
    ssl_certificate_key /ssl/letsencrypt/domain.key;
    ssl_dhparam /ssl/letsencrypt/dhparams.pem;
    ssl_trusted_certificate /ssl/letsencrypt/full_chained.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout 1d;
    ssl_session_tickets off;
    ssl_prefer_server_ciphers on;
    # ssl_stapling on;
    # ssl_stapling_verify on;
}

后来即使我只保留

    ssl on;
    ssl_certificate /ssl/letsencrypt/chained.pem;
    ssl_certificate_key /ssl/letsencrypt/domain.key;

这几个必要配置也不行
证书是 letsencrypt 的证书,服务器上有多个 https 站点

求从报错分析可能出现这个异常的原因,或者提供一些 debug 排错的思路,谢谢

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

小…红帽 2022-09-14 04:20:51

找到解决方法了吗,我也碰到这个问题,很诡异啊

甜心 2022-09-14 04:20:51

http2配置SSL只能使用TLSv1.2+ 版本,你只保留三条,意味着加密套件用的是默认的设置,猜测是这个原因,欢迎更智慧的回答。参考:http://http2.github.io/http2-...
欢迎关注同名微信/微博/知乎

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文