整個網絡的 ERR_SSL_PROTOCOL_ERROR 問題

Question

我們正在為網站 rskolkata.com 設置 SSL。 我們首先為該站點設置了 Cloudflare。 Cloudflare 站點中的一切都很好，包括 DNS 服務器設置。 但是，發生了一些事情，破壞了整個網絡的 SSL 證書。 我們嘗試在所有瀏覽器（Chrome、Mozilla、Opera）的正常模式和隱身模式下，在網絡中的所有機器上訪問 ubuntu 20.10 和 windows 10 中的網站。 我們總是在 Chrome 和 Mozilla 中收到錯誤ERR_SSL_PROTOCOL_ERROR ，錯誤是SSL_ERROR_INTERNAL_ERROR_ALERT 。 我們在 Ubuntu 中嘗試了以下命令：

sudo apt-get install --reinstall ca-certificates

這適用於受影響網絡之外的機器（例如機器 A）（但最初位於損壞網絡中的同一台機器）。 當我們在受影響網絡上的 Ubuntu 機器上嘗試相同的命令時，它不起作用。 我們還嘗試在 Windows 機器上的 Chrome 中清除 SSL state，但該機器不起作用。 然后我們嘗試了以下方法：

sudo apt-get -f install
# stop if you saw any errors

sudo dpkg --purge --force-depends ca-certificates
sudo apt-get -f install

我們嘗試了上述方法，但也未能解決問題。

該網站在受影響的網絡之外打開時沒有任何問題。

我們在網站https://www.websiteplanet.com/webtools/中檢查了網站的啟動狀態，顯示該網站正在運行。 SSL 工作正常。

當“機器 A”再次被帶到受影響的網絡時，再次開始給出錯誤。

但是，由於我們是該站點的開發人員，因此我們需要從我們的辦公網絡訪問該站點。 請提出解決方案。

更新 1：

firefox 上的Ctrl + Shift + K給出An error occurred: SSL_ERROR_INTERNAL_ERROR_ALERT

$ curl -vk https://rskolkata.com

Output：

*   Trying 151.106.116.81:443...
* TCP_NODELAY set
* Connected to rskolkata.com (151.106.116.81) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS alert, internal error (592):
* error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error
* Closing connection 0
curl: (35) error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error

'dig rskolkata.com` 給出以下 output：

 dig rskolkata.com

; <<>> DiG 9.16.6-Ubuntu <<>> rskolkata.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29471
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;rskolkata.com.         IN  A

;; ANSWER SECTION:
rskolkata.com.      6794    IN  A   151.106.116.81

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Jan 22 14:25:50 IST 2021
;; MSG SIZE  rcvd: 58

並dig +trace rskolkata.com給出以下 output：

; <<>> DiG 9.16.6-Ubuntu <<>> +trace rskolkata.com
;; global options: +cmd
.           238434  IN  NS  k.root-servers.net.
.           238434  IN  NS  b.root-servers.net.
.           238434  IN  NS  h.root-servers.net.
.           238434  IN  NS  j.root-servers.net.
.           238434  IN  NS  e.root-servers.net.
.           238434  IN  NS  m.root-servers.net.
.           238434  IN  NS  c.root-servers.net.
.           238434  IN  NS  f.root-servers.net.
.           238434  IN  NS  d.root-servers.net.
.           238434  IN  NS  a.root-servers.net.
.           238434  IN  NS  g.root-servers.net.
.           238434  IN  NS  i.root-servers.net.
.           238434  IN  NS  l.root-servers.net.
;; Received 262 bytes from 127.0.0.53#53(127.0.0.53) in 3 ms

rskolkata.com.      12530   IN  A   151.106.116.81
rskolkata.com.      72951   IN  NS  ns1.dns-parking.com.
rskolkata.com.      72951   IN  NS  ns2.dns-parking.com.
;; Received 222 bytes from 199.7.91.13#53(d.root-servers.net) in 0 ms

The DNS name server is dimitris.ns.cloudflare.com and IP 172.67.138.143 as can be seen in https://mxtoolbox.com/

Answer 1

嘗試查看開發人員 web 控制台（firefox Ctrl+Shift+K）- 安全選項卡下有什么有趣的嗎？

嘗試運行curl -vk https://rskolkata.com - 它顯示了什么？

由於您似乎正在從您也在開發它的辦公室測試網站 - 也許您的網絡管理員設置了“一些特別的東西”，以幫助測試？ 是否dig rskolkata.com和dig +trace rskolkata.com都返回預期的 IP？

編輯：嘗試使用 tcpdump 捕獲流量（如tcpdump -nni eth0 host DESTIP -w trace.pcap ），然后在 wireshark 中打開 trace.pcap 並比較工作與不工作的情況。 也許會有一些不同。

你說，一個小團隊。 然后我想互聯網中的 LAN 之間沒有花哨的中間盒，可以對 SSL 握手做些什么。

您可以將測試客戶端從“更靠近”的 LAN 移動到 Internet。 當您和 Internet 之間減少 1 GW/FW 時，它會改變嗎？ 我想這可能與您公司的網絡設備或您的 ISP 的網絡設備有關。