Я использую Apache на базе Linux CentOS 7.6 на виртуальной машине Linux. Я использую сертификаты LetsEncrypt для HTTPS. Вот уже полгода это работало нормально. В последнее время мне снова пришлось обновлять сертификаты. Это тоже прошло гладко.
Я все еще могу подключаться по HTTPS и просматривать веб-страницы. Но как только я начинаю загрузку по HTTPS (не зависит от клиента), загрузка останавливается через несколько мегабайт. С этого момента я не могу установить какое-либо соединение на основе SSL, так как квитирование TLS не удается - на Client Hello больше не отвечают ни через HTTPS, ни через SSH. Также Apache полностью не отвечает даже на HTTP.
Я пробовал разные порты и загрузки из разных сетей, чтобы исключить в конечном итоге существующие сетевые прокси. У меня даже возникла проблема при загрузке с localhost.
Я отследил исходящие пакеты с помощью wirehark на сетевом интерфейсе и могу подтвердить, что сервер hello не отправляется.
Если я остановлю загрузку клиента через HTTPS, это займет несколько минут, а затем будет отправлен пакет Server Hello из рукопожатия TLS !!
Таким образом, с моей точки зрения, защищенное TLS соединение с новым сертификатом блокируется после того, как был зашифрован небольшой объем мегабайт единым блоком. Кажется, что через несколько минут он оживает. Я совершенно не знаю, что делать сейчас, и я не нахожу никаких подсказок в журналах ядра или Apache, которые дали бы мне подсказку.
У тебя есть идеи?
Обновить:
<VirtualHost *:443>
Include /etc/letsencrypt/options-ssl-apache.conf
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/mydomain/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mydomain/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/mydomain/chain.pem
</VirtualHost>
параметры-ssl-apache.conf
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
SSLHonorCipherOrder on
SSLOptions +StrictRequire