HTTPS über IPv6 geht nicht

08.10.2015 15:00 Lutz Donnerhacke

Wieder mal ein schönes Problem: Die Webseite https://www.kinderhaus-blaubaer.de/ funktioniert nicht hier im Haus, wohl aber über die Handynetze oder bei den Mitarbeitern daheim.

Der Browser sagt:

Secure Connection Failed
An error occurred during a connection to www.kinderhaus-blaubaer.de. SSL received a record that exceeded the maximum permissible length. (Error code: ssl_error_rx_record_too_long)

Woran liegt so was?

Nach Aussage des Kunden liegt das am Hausnetz. Ein Serverproblem kann ausgeschlossen werden, weil es ja von überall anders funktioniert. Der Kunde vermutet nach etwas Lektüre einen fehl konfigurierten Proxy bei uns.

Unsere eigenen Tests ergeben, daß die Seite tatsächlich diese Fehlermeldung bringt. Allerdings sehen wir die auch bei anderen Providern.

Der SSL-Tester offenbart, wo das  Problem liegt:

  Server Domain(s) Test time Grade
1 85.199.152.101
 Ready 		kinderhaus-blaubaer.de
 www.kinderhaus-blaubaer.de 		 Thu, 08 Oct 2015 11:44:07 UTC
 Duration: 146.77 sec 		B
2 2001:8d8:1000:40f3:c546:9a8a:2325:d881
babydiscount.net
 No secure protocols supported 		kinderhaus-blaubaer.de
 www.kinderhaus-blaubaer.de 		 Thu, 08 Oct 2015 11:46:33 UTC
 Duration: 10.96 sec 		-

Natürlich! Hier ist überall IPv6 ausgerollt. Also versucht der Kunde im Hausnetz die Webseite über IPv6 zu erreichen. Und das geht nicht.

Der vom Kunden schon gefundene Thread verweist darauf, daß der Grund der Fehlermeldung eigentlich immer HTTP auf dem SSL Port ist.

Und tatsächlich:

$ telnet 2001:8d8:1000:40f3:c546:9a8a:2325:d881 443
GET / HTTP/1.0
Host: www.kinderhaus-blaubaer.de

HTTP/1.1 301 Moved Permanently
Date: Thu, 08 Oct 2015 12:24:28 GMT
Server: Apache
Location: http://www.babydiscount.net/
Content-Length: 236
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://www.babydiscount.net/">here</a>.</p>
</body></html>
Avatar
Rainer Sokoll 08.10.2015 16:58
Ich glaube ja, die Schwierigkeit beim Anbieter besteht im Verständnis dessen, was v6 ist: Viele meinen, es sei einfach eine Erweiterung zu v4 - tatsächlich aber ist es ein komplett von v4 unabhängiges, eigenes Netz. Das zugegebenermaßen über dieselben physischen Medien transportiert wird.
Es reicht dann eben nicht, dem Apachen einfach zwei Listen-Direktiven mitzugeben - man muß auch 2 vhosts haben, einen für v4 und einen für v6.
Dann klappts auch mit dem HTTPS :-)
Übrigens geht es aus dem VF-Netz auch nicht.

1 Kommentare

Post a comment

Verwandter Inhalt