Einer unserer Kunden meldete, dass ein Kunde aus Österreich Probleme beim Aufruf seines Online Shops hatte. Statt den Magento Online Shop, kam statt dessen der folgende Fehlerhinweis im Browser:
err_spdy_inadequate_transport_security
Auf Rückfrage konnte der Benutzer uns sein Geräte mitteilen. Er nutzte ein OnePlus2 Smartphone mit dem Android Browser und auf ein Macbook mit einer vermeintlich aktuellen Chrome Version.
Da die Fehlermeldung zuerst auf das SPDY Protokoll hindeutete, dachte wir das die Ursache eher beim Kunden liegen müsse, da wir ja auf dem Server den Protokollnachfolger HTTP2 nutzen.
Nach ein wenig Recherche konnten wir jedoch feststellen, dass die mit Nginx als Standard-SSL Konfiguration ausgelieferte Verschlüsselungskonfguration zu Problemen mit älteren Browsern führen kann.
Konkret war in der Datei /etc/nginx/conf.d/ssl.confdie folgende Konfiguration zu finden:
ssl_ciphers HIGH:!aNULL:!MD5;
Diese Zeile haben wir durch die folgende ersetzt und den Nginx dann neu gestartet:
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
Danach konnte der Kunde wie gewünscht den Online Shop aufrufen.
Abschließend haben wir noch die Sicherheit der SSL-Verschlüsselung auf der Website von Qualsys SSL Labs getest. Auch nach der Änderung an den SSL Ciphers erhielt der Server weiterhin eine A+ Bewertung.