HTTPS SSL errors

statuscode="403" - I don't think the server likes you!

statuscode="403" - I don't think the server likes you!

to be honest I am more concerned about the random SSL errors.

I am keeping getting these errors.Can someone confirm that they get the same SSL errors[HTTPS should be enabled]?Anyone from the Astaro team??

example:

2009:12:09-20:39:58 stuffman httpproxy[4657]: [ 0x82603b0] ssl_log_errors (ssl.c:41) C: 4657:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

When I try to go to https://rsi.hotmail.com/ I get:
Untrusted website!
While trying to retrieve the URL:  https://rsi.hotmail.com/ (Add exception for this URL)
Status: unable to get local issuer certificate
Then it shows Microsoft's cert info, like subject, issuer, SHA1 finger print, MD5 finger print, valid dates, etc.

I do not get an SSL error in the log though. I just have a block action like any other normal block.

I am running version 7.502

Have you tried going there outside of the proxy to see if you can get there and the cert does its job? 

C68

I am not getting the errors on the log while browsing to hotmail. It randomly appears on the logs with various error codes. I have no issue browsing to hotmail [:)]

I am still getting the errors for multiple websites

2009:12:12-10:20:56 stuffman httpproxy[18590]: [0xa66823a8] ssl_log_errors (ssl.c:41) C: 18590:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

2009:12:12-10:21:17 stuffman httpproxy[18590]: [0xa8a2bb08] ssl_log_errors (ssl.c:41) C: 18590:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

2009:12:12-10:21:38 stuffman httpproxy[18590]: [0xa8a5a258] ssl_log_errors (ssl.c:41) C: 18590:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

2009:12:12-10:22:00 stuffman httpproxy[18590]: [0xa661b9b8] ssl_log_errors (ssl.c:41) C: 18590:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

it seems that the HTTPS handshake is not working properly.

Is anyone from Astaro Team looking at this???

I've open a support ticket. Hopefully someone will have a look. It's a pity that no member for the Astaro team even looked at it so far...(should we even keep reporting bugs if no one has the time to at least reply via the forum/pm regarding a potential bug??????)[:(]

for anyone who is interested: Ticket number is :  [Ticket#2009121310000123] CaseID 00112047

Latest update from the support engineer was to add a HTTPS exception for the relevant URL.Hovewer, I am getting multiple different handshake errors and therefore I think that there is something faulty with the handshake itself

latest log(25/12/09)

822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.11" user="wingman" statuscode="200" cached="1" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction="REF_DefaultHTTPCFFBlockAction (Zone 1)" size="2035" time="2 ms" request="0xa5959e98" url="livefiles18.vo.msecnd.net/.../jpeg"

2009:12:25-15:12:40 stuffman httpproxy[26822]: [0xa9941cb8] ssl_log_errors (ssl.c:41) C: 26822:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

2009:12:25-15:12:41 stuffman httpproxy[26822]: [0xa99ed3e0] ssl_log_errors (ssl.c:41) C: 26822:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:288:

2009:12:25-15:12:41 stuffman httpproxy[26822]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.11" user="" statuscode="502" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction=" ()" size="0" time="0 ms" request="0xa99ed3e0" url="65.54.189.205" exceptions="" error=""

2009:12:25-15:12:46 stuffman httpproxy[26822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="POST" srcip="192.168.2.11" user="wingman" statuscode="302" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction="REF_DefaultHTTPCFFBlockAction (Zone 1)" size="0" time="1336 ms" request="0xa994ec70" url="samspade.org/whois" exceptions="" error="" reputation="neutral" category="178" reputation="neutral" categoryname="Internet Services"

2009:12:25-15:12:46 stuffman httpproxy[26822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.11" user="wingman" statuscode="200" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction="REF_DefaultHTTPCFFBlockAction (Zone 1)" size="4400" time="776 ms" request="0xa591d940" url="samspade.org/.../html"

2009:12:25-15:12:47 stuffman httpproxy[26822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.11" user="wingman" statuscode="304" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction="REF_DefaultHTTPCFFBlockAction (Zone 1)" size="0" time="409 ms" request="0xa591d940" url="samspade.org/.../whois.css" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services"

2009:12:25-15:12:47 stuffman httpproxy[26822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.11" user="wingman" statuscode="304" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction="REF_DefaultHTTPCFFBlockAction (Zone 1)" size="0" time="413 ms" request="0xa99b8390" url="samspade.org/.../js_hide.css" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services"

2009:12:25-15:13:01 stuffman httpproxy[26822]: [0xa9941cb8] ssl_log_errors (ssl.c:41) C: 26822:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

2009:12:25-15:13:11 stuffman httpproxy[26822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.11" user="wingman" statuscode="200" cached="1" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction="REF_DefaultHTTPCFFBlockAction (Zone 1)" size="2234" time="2 ms" request="0xa5959e98" url="livefiles18.vo.msecnd.net/.../jpeg"

2009:12:25-15:13:23 stuffman httpproxy[26822]: [0xa99ed3e0] ssl_log_errors (ssl.c:41) C: 26822:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

2009:12:25-15:26:58 stuffman httpproxy[26822]: [0xa990dbd0] ssl_log_errors (ssl.c:41) C: 26822:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1057:SSL alert number 48

2009:12:25-15:26:58 stuffman httpproxy[26822]: [0xa990dbd0] ssl_log_errors (ssl.c:41) C: 26822:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:534:

2009:12:25-15:29:50 stuffman httpproxy[26822]: [0xa950cb78] ssl_log_errors (ssl.c:41) C: 26822:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

2009:12:25-15:29:53 stuffman httpproxy[26822]: [0xa591d398] ssl_log_errors (ssl.c:41) S: 26822:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1057:SSL alert number 40

2009:12:25-15:29:53 stuffman httpproxy[26822]: [0xa591d398] ssl_connect (ssl.c:954) ssl_handshake: Input/output error

2009:12:25-15:29:53 stuffman httpproxy[26822]: [0xa591d398] ssl_log_errors (ssl.c:41) C: 26822:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1057:SSL alert number 48

2009:12:25-15:29:53 stuffman httpproxy[26822]: [0xa591d398] ssl_log_errors (ssl.c:41) C: 26822:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:534:

2009:12:25-15:29:53 stuffman httpproxy[26822]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.11" user="" statuscode="502" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction=" ()" size="0" time="0 ms" request="0xa591d398" url="70.42.140.72" exceptions="" error=""

2009:12:25-15:29:54 stuffman httpproxy[26822]: [0xa990dbd0] ssl_log_errors (ssl.c:41) S: 26822:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1057:SSL alert number 40

2009:12:25-15:29:54 stuffman httpproxy[26822]: [0xa990dbd0] ssl_connect (ssl.c:954) ssl_handshake: Input/output error

2009:12:25-15:29:55 stuffman httpproxy[26822]: [0xa990dbd0] ssl_log_errors (ssl.c:41) C: 26822:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1057:SSL alert number 48

2009:12:25-15:29:55 stuffman httpproxy[26822]: [0xa990dbd0] ssl_log_errors (ssl.c:41) C: 26822:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:534:

2009:12:25-15:29:55 stuffman httpproxy[26822]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.11" user="" statuscode="502" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction=" ()" size="0" time="0 ms" request="0xa990dbd0" url="70.42.140.72" exceptions="" error=""

2009:12:25-15:29:56 stuffman httpproxy[26822]: [0xa9512ce0] ssl_log_errors (ssl.c:41) S: 26822:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1057:SSL alert number 40

2009:12:25-15:29:56 stuffman httpproxy[26822]: [0xa9512ce0] ssl_connect (ssl.c:954) ssl_handshake: Input/output error

2009:12:25-15:29:57 stuffman httpproxy[26822]: [0xa9512ce0] ssl_log_errors (ssl.c:41) C: 26822:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1057:SSL alert number 48

2009:12:25-15:29:57 stuffman httpproxy[26822]: [0xa9512ce0] ssl_log_errors (ssl.c:41) C: 26822:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:534:

2009:12:25-15:29:57 stuffman httpproxy[26822]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.11" user="" statuscode="502" cached="0" profile="REF_gTJkfSrJvf (Trusted clients HTTPS)" filteraction=" ()" size="0" time="0 ms" request="0xa9512ce0" url="70.42.140.64" exceptions="" error=""

2009:12:25-15:30:11 stuffman httpproxy[26822]: [0xa99b8390] ssl_log_errors (ssl.c:41) C: 26822:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:842:

Unfortunately, Astaro support can't help me because I am a home user. If anyone is facing the same issue + has proper support,please have a look. I understand that I don't have support but I think Astaro should have a look

Thanks

It seems for me the ssl handshake errors you encounter are caused by programs which do not use standard http_over_ssl but tunneling their proprietary protocol over port 443.

Some of the programs which have this behaviour are Skype, OpenVPN, Teamviewer, Netviewer, ...with other words: many Instant Messaging, Remote Support/Remote Access and other tunneling tools use port 443 to transport their data, although it is NOT encrypted http but something different.
This will lead to the http proxy generating these errors. It is not a bug but obvious by design - the http proxy (when https scanning is activated) is of course only working, if the protocol inside the ssl tunnel _is_ http.

So the solution would be to add the source or the destination hosts which  generate these messages to the "transaprent skip list" of your http proxy.

Or wait until one of the next up2date packages where it will be possible to completely skip the SSL decryption depending on source, destination or other parameters.