Topic: Impossibile connettersi a siti che usano la connessione SSL 3.0 [era: Crash?]

[Trotto@81]

Avevo notato pure io che mancasse il link, per segnalare il problema, alla faccia della comunicazione...

[miki64]

Il bello è che ci sono FAQ, indicazioni dei numeri verdi e documenti PDF che alla fin fine non portano a nulla...   

[patreides]

No, crash non c'entra.

Il problema nasce da qui:
http://www.ilsoftware.it/articoli.asp?tag=Attacco-POODLE-su-SSL-30-intercettabili-dati-personali_11408
Per evitare questo "attacco" si sta disabilitando la connessione sicura SSL 3.0 che è molto vecchia e molto insicura. Il sito che hai linkato utilizza ancora questo tipo di connessione.
Si sta disabilitando va inteso come: lo stanno facendo anche gli altri browser.
E' il sito che deve aggiornare il tipo di connessione che usa, cosa che avrebbe dovuto fare da tempo.
Notare come proprio questo sito sia stato messo come esempio di sito attaccabile facilmente:
https://codiceinsicuro.it/blog/poodle-scacco-ad-ssl-3-dot-0/

Se per te poter accedere a questo sito è importante dovrai accettare il rischio e ripristinare la connessione SSL 3.0.
Per fare questo, digita about:config nella barra degli indirizzi, invio, prometti di fare attenzione, tramite il filtro cerca questo parametro:

security.tls.version.min

doppio clic su di esso e cambia il suo valore da 1 a 0 (zero).

se non volete usare iexplorer o aspettare che il nostro "caro" ministero aggiorni oltre a

security.tls.version.min 0 (indicata da iceberg che cito)

dovete modificare anche

security.tls.version.max 3

mettendo 0 anche qua al posto di 3

[Trotto@81]

Perfetto, grazie mille per il trick!!

[Iceberg]

Sì, però mi chiedo e chiedo.
Con:

security.tls.version.max  = 0

Non si perde tutto?
Pure i siti sicuri con connessioni sicure (e sono la grande maggioranza) saranno dirottati su connessioni insicure?

I siti dovranno aggiornarsi e considerato che fra poco più di un mese Google Chrome seguirà la stessa strada di Firefox se non si adegueranno spariranno dalla faccia del web.

[Trotto@81]

A me interessa solo poter visionare di rado Istanze OnLine, poi torno tutto a default.

[patreides]

Sì, però mi chiedo e chiedo.
Con:

security.tls.version.max  = 0

Non si perde tutto?
Pure i siti sicuri con connessioni sicure (e sono la grande maggioranza) saranno dirottati su connessioni insicure?

I siti dovranno aggiornarsi e considerato che fra poco più di un mese Google Chrome seguirà la stessa strada di Firefox se non si adegueranno spariranno dalla faccia del web.

per quel che ho notato siti con connessioni veramente sicure poi non ti fanno accedere e devi riportare i valori al default

esempi che ricordo aver controllato sono gmail ed amazon

però di fatto chi come trotto ha a che fare con il portale sidi o con istanze online ho fa la modifica o deve usare iexplorer

[Jana58]

Si è verificato un errore durante la connessione a sso.pubblica.istruzione.it. Il peer SSL ha ricevuto un messaggio inatteso di tipo handshake. (Codice di errore: ssl_error_handshake_unexpected_alert)

    La pagina che si sta cercando di visualizzare non può essere mostrata in quanto non è possibile verificare l’autenticità dei dati ricevuti.
    Contattare il responsabile del sito web per informarlo del problema.

[Iceberg]

@Jana58, ho spostato il tuo messaggio in questa discussione.

Dovete contattare i responsabili dei siti e fargli presente il problema. Alla fine di gennaio anche Chrome bloccherà questi siti che usano vecchi protocolli di sicurezza. E lo stesso farà Internet Explorer.

[Enrico204]

Salve ragazzi,

in realtà, per evitare di "perdere" l'accesso ad altri siti come GMail o Amazon, si potrebbe modificare la voce

security.tls.version.fallback-limit

portandola a zero esattamente come security.tls.version.min (non toccando quindi la massima).

Ho testato questa soluzione con FF 34.0.5 sotto Debian x64 e pare funzionare senza problemi.

Enrico

[Iceberg]

Grazie dell'informazione, questo parametro era sfuggito (non esiste in Firefox 31.3).

E' stato introdotto da Firefox 34 come soluzione di questo bug:
https://bugzilla.mozilla.org/show_bug.cgi?id=1083058

e forse verrà rimosso da Firefox 37 come soluzione di quest'altro bug:
https://bugzilla.mozilla.org/show_bug.cgi?id=1084025

in quanto dovrebbe venire introdotta la possibilità di creare una whitelist di siti che usano il protocollo insicuro:
https://bugzilla.mozilla.org/show_bug.cgi?id=1114816

Poter autorizzare solo i pochi siti necessari all'utente sarebbe un bel passo avanti rispetto all'autorizzazione generale. Tuttavia quest'ultimo bug è recentissimo e per ora c'è solo il titolo, come evolverà e con quale tempistica è tutto da vedere.

[lupetto0_11]

Aprendo il portale sidi e andando avanti con iscrizione online mozilla versione 35 da il seguente errore
Connessione sicura non riuscita

Si è verificato un  :sbat:ha ricevuto un messaggio inatteso di tipo handshake. (Codice di errore: ssl_error_handshake_unexpected_alert)

    La pagina che si sta cercando di visualizzare non può essere mostrata in quanto non è possibile verificare l’autenticità dei dati ricevuti.
    Contattare il responsabile del sito web per informarlo del problema.

come si posso risolvere il problema?

[Iceberg]

@lupetto0_11, ho unito la tua discussione con questa, leggendola dall'inizio troverai il perché ti viene rifiutata la connessione e come metterci una pezza temporanea, è il sito che deve aggiornare la sua connessione sicura.

[erotavlas]

Salve,
sto utilizzando Firefox 45 e Firefox 47 Developer Edition entrambi a 64 bit su piattaforma windows. Ho un problema simile per connettermi a un sito di una intranet di un'università. Ho provato a chiedere all'amministratore della intranet, ma a quanto pare non abbiamo trovato ancora una soluzione. Il sito utilizza ancora la vecchia SSLv3.0. Ho provato a settare i due parametri: security.tls.version.fallback-limit;0 e security.tls.version.min;0. Continua a non funzionare. Se utilizzo IE 11 riesco ad utilizzare il sito e a importare il certificato che non è firmato da alcuna CA. Ho provato anche a importare il certificato dentro firefox nella sezione server perché nella sezione CA non mi permette di importarlo.
L'errore è il seguente:

Codice: [Seleziona]

Connessione sicura non riuscita

La connessione con è stata interrotta durante il caricamento della pagina.

    La pagina che si sta cercando di visualizzare non può essere mostrata in quanto non è possibile verificare l’autenticità dei dati ricevuti.
    Contattare il responsabile del sito web per informarlo del problema.

Cosa posso fare?
Grazie

[gagliaudo]

A conferma dell'ultimo post vi dico che anche per il sito web "pubblico"di Giustizia Amministrativa si ripropone lo stesso messaggio:
"Si è verificato un errore durante la connessione a www.giustizia-amministrativa.it. Il peer SSL ha ricevuto un messaggio inatteso di tipo handshake. Codice di errore: SSL_ERROR_HANDSHAKE_UNEXPECTED_ALERT
La pagina che si sta cercando di visualizzare non può essere mostrata in quanto non è possibile verificare l’autenticità dei dati ricevuti.
Contattare il responsabile del sito web per informarlo del problema."
Ho scritto adesso al webmaster e speriamo bene.
---
Speravo male! Il webmaster di Giustizia Amministrativa dubito sia un webmaster a giudicare dalle risposte che mi ha dato, giudicate voi:
"IO: Il vostro utilissimo sito web può essere visualizzato solo con Internet Explorer.
Se si provano ad usare Google Chrome o Mozilla Firefox non è possibile.
Si ottiene il seguente messaggio di errore:
"Si è verificato un errore durante la connessione a www.giustizia-amministrativa.it. Il peer SSL ha ricevuto un messaggio inatteso di tipo handshake. Codice di errore: SSL_ERROR_HANDSHAKE_UNEXPECTED_ALERT
La pagina che si sta cercando di visualizzare non può essere mostrata in quanto non è possibile verificare l’autenticità dei dati ricevuti.
Contattare il responsabile del sito web per informarlo del problema."
Il link di cui alla frase Ulteriori informazioni é: https://support.mozilla.org/it/kb/questa-connessione-non-sicura
Vi segnalo altresì il link ad un thread sul Forum di Mozillaitalia.org: http://forum.mozillaitalia.org/index.php?topic=62814.0
Grato se potrete porre rimedio.
WEBMASTER:Buongiorno,
abbiamo diversi utenti che lavorano con firefox e con chrome.
Provi ad abbassare la sicurezza per le connessioni verso il nostro sito. (n.d.r: ho già seguito le indicazioni in thread ma senza esito L'unica cosa che posso dirle è che usano firefox a 32bit.
Provi a cercare su un motore di ricerca:
ssl_error_handshake_unexpected_alert
che è presente nell'errore che le viene a video."
  Ma vi rendete conto???

Ulteriore info:
Ieri sera ho provato da casa proprio con Firefox 32 bit (in ufficio sono a 64 bit) ed il sito funziona.
Ho provato ad importare il certificato usato dal sito nel Firefox 64 bit dell'ufficio ma l'errore si riproduce.
E' pensabile che sia un errore dovuto alla rete dell'ufficio (che utilizza l'autenticazione del proxy per  inciso)?

Grazie per una vostra cortese risposta!