iOS/iPadOS14 - mal wieder an Safari-Chiffren und TLS-Erfordernissen rumgespielt?

[Wuchtbrumme]

Hallo,
ich werde langsam zu alt für den Schrott und schon gar nicht verstehe ich noch, warum ständig an Dingen herumgeschraubt wird und das nicht anständig dokumentiert wird.

Ein neu installiertes iPadOS14.0.1 mag sich nicht auf den Profilmanagers eines Server 5.6.3 verbinden, obwohl das Zertifikat noch valide ist.
Ein Connect mit openssl:

Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 5101 bytes and written 322 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384

Es handelt sich um eine durch die Server.app selbstgebaute Zertifikatskette. TLS1.0 verbindet nicht, klar. Aber TLS1.2 scheint OK zu sein.

Auf einem Gerät, das unter iOS 13 über den Profilmanager verwaltet wurde, komme ich auf die URL .../mydevices.
Nur auf dem iPadOS14-Gerät habe ich ein Henne-Ei-Problem (und ich verstehe die nicht dokumentierte Anforderung nicht). Oder hat Safari im iOS14.0.1 einen Bug bei der Anforderung der TLS-Version? *kopfkratz*

 

[Ijon Tichy]

---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384

Hm ist das jetzt SSLv3 oder TLSv1.2, was der Server anbietet? SSLv3 wird bestimmt nicht gehen.

Hilft das evtl.: https://developer.apple.com/forums/thread/655074

 

[Wuchtbrumme]

Hilft das evtl.: https://developer.apple.com/forums/thread/655074

das war das erste, was ich gefunden habe...
Vielleicht gibt es aber noch einen anderen Fehler - wie finde ich denn raus, welches Zertifikat von dem https://meinserver/mydevices-VirtualHost benutzt wird und kann ich das mittels openssl getrennt testen?

Update: Das Problem scheint schon grundlegender zu sein. Das Trustprofil habe ich per Airdrop aufs iPad geladen - keine Veränderung, der Safari kann sich immer noch nicht verbinden. Witzigerweise ging das schon mal und ich habe nach dem Löschen von entfernter Verwaltung und Trustprofil auch schon einmal das Ding neu provisioniert bekommen.
Dann plötzlich nicht mehr. Witzigerweise kommt das iPhone auch mit iOS14.0.1 immer noch auf die Adresse. Das iPad wiederum kommt auf die /-Startseite des Webservers.

Das ist das Log währenddessen aus /var/log/apache2/service_proxy_error.log:

[Tue Sep 29 17:27:55.760943 2020] [ssl:info] [pid 689] [client 192.168.1.204:53343] AH01964: Connection to child 1 established (server test.server:443)
[Tue Sep 29 17:27:55.761932 2020] [ssl:debug] [pid 689] ssl_engine_kernel.c(2165): [client 192.168.1.204:53343] AH02043: SSL virtual host for servername test.server found
[Tue Sep 29 17:27:55.761956 2020] [ssl:debug] [pid 689] ssl_engine_kernel.c(2165): [client 192.168.1.204:53343] AH02043: SSL virtual host for servername test.server found
[Tue Sep 29 17:27:55.806630 2020] [ssl:debug] [pid 689] ssl_engine_io.c(1367): (70014)End of file found: [client 192.168.1.204:53343] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Tue Sep 29 17:27:55.806688 2020] [ssl:info] [pid 689] [client 192.168.1.204:53343] AH01998: Connection closed to child 1 with abortive shutdown (server test.server:443)
[Tue Sep 29 17:27:55.812793 2020] [ssl:info] [pid 692] [client 192.168.1.204:53344] AH01964: Connection to child 4 established (server test.server:443)
[Tue Sep 29 17:27:55.813177 2020] [ssl:debug] [pid 692] ssl_engine_kernel.c(2165): [client 192.168.1.204:53344] AH02043: SSL virtual host for servername test.server found
[Tue Sep 29 17:27:55.813215 2020] [ssl:debug] [pid 692] ssl_engine_kernel.c(2165): [client 192.168.1.204:53344] AH02043: SSL virtual host for servername test.server found
[Tue Sep 29 17:27:55.859237 2020] [ssl:debug] [pid 692] ssl_engine_io.c(1367): (70014)End of file found: [client 192.168.1.204:53344] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Tue Sep 29 17:27:55.859342 2020] [ssl:info] [pid 692] [client 192.168.1.204:53344] AH01998: Connection closed to child 4 with abortive shutdown (server test.server:443)
[Tue Sep 29 17:27:55.869685 2020] [ssl:info] [pid 691] [client 192.168.1.204:53345] AH01964: Connection to child 3 established (server test.server:443)
[Tue Sep 29 17:27:55.870010 2020] [ssl:info] [pid 691] [client 192.168.1.204:53345] AH02008: SSL library error 1 in handshake (server test.server:443)
[Tue Sep 29 17:27:55.870047 2020] [ssl:info] [pid 691] SSL Library Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
[Tue Sep 29 17:27:55.870061 2020] [ssl:info] [pid 691] [client 192.168.1.204:53345] AH01998: Connection closed to child 3 with abortive shutdown (server test.server:443)
[Tue Sep 29 17:27:55.883449 2020] [ssl:info] [pid 707] [client 192.168.1.204:53346] AH01964: Connection to child 5 established (server test.server:443)
[Tue Sep 29 17:27:55.883699 2020] [ssl:debug] [pid 707] ssl_engine_kernel.c(2165): [client 192.168.1.204:53346] AH02043: SSL virtual host for servername test.server found
[Tue Sep 29 17:27:55.883719 2020] [ssl:debug] [pid 707] ssl_engine_kernel.c(2165): [client 192.168.1.204:53346] AH02043: SSL virtual host for servername test.server found
[Tue Sep 29 17:27:55.930380 2020] [ssl:debug] [pid 707] ssl_engine_io.c(1367): (70014)End of file found: [client 192.168.1.204:53346] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Tue Sep 29 17:27:55.930447 2020] [ssl:info] [pid 707] [client 192.168.1.204:53346] AH01998: Connection closed to child 5 with abortive shutdown (server test.server:443)
[Tue Sep 29 17:27:55.936204 2020] [ssl:info] [pid 959] [client 192.168.1.204:53347] AH01964: Connection to child 6 established (server test.server:443)
[Tue Sep 29 17:27:55.936529 2020] [ssl:debug] [pid 959] ssl_engine_kernel.c(2165): [client 192.168.1.204:53347] AH02043: SSL virtual host for servername test.server found
[Tue Sep 29 17:27:55.936573 2020] [ssl:debug] [pid 959] ssl_engine_kernel.c(2165): [client 192.168.1.204:53347] AH02043: SSL virtual host for servername test.server found
[Tue Sep 29 17:27:55.985370 2020] [ssl:debug] [pid 959] ssl_engine_io.c(1367): (70014)End of file found: [client 192.168.1.204:53347] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Tue Sep 29 17:27:55.985435 2020] [ssl:info] [pid 959] [client 192.168.1.204:53347] AH01998: Connection closed to child 6 with abortive shutdown (server test.server:443)
[Tue Sep 29 17:27:55.993071 2020] [ssl:info] [pid 690] [client 192.168.1.204:53348] AH01964: Connection to child 2 established (server test.server:443)
[Tue Sep 29 17:27:55.993340 2020] [ssl:info] [pid 690] [client 192.168.1.204:53348] AH02008: SSL library error 1 in handshake (server test.server:443)
[Tue Sep 29 17:27:55.993370 2020] [ssl:info] [pid 690] SSL Library Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
[Tue Sep 29 17:27:55.993387 2020] [ssl:info] [pid 690] [client 192.168.1.204:53348] AH01998: Connection closed to child 2 with abortive shutdown (server test.server:443)
^C

 

[Ijon Tichy]

Hilft das bei der Fehlersuche: https://serverfault.com/a/905388/317270

Nachtrag: Ich glaube ja immer noch an ein (wie auch immer geartetes) Versionsproblem:
SSL3_GET_CLIENT_HELLO:wrong version number

 

[Wuchtbrumme]

Aber warum zickt dann nur das iPad? iPhones gehen. Ein zweites iPad kann auch nicht geänderten Payload abholen - aber es kommt zumindest auf die mydevices-Seite. Die iPhones aktualisieren sich
Vielleicht noch ein Hinweis: Wenn ich auf dem betroffenen iPad nicht mit Domain-Namen öffne, sondern mit IP-Adresse, dann komme ich nach Bestätigen des Hinweises, dass die Webseite unsicher sei und ob ich mir das Zertifikat angucken will drauf - nur der Profilmanager lädt die Seite dann neu, mit Domainnamen. DNS passt.

Update:
Ich würde sagen: mit Umstellung auf iPadOS funktioniert das Neuprovisionieren mit 5.6.3 mit iPads mit iPadOS14 nicht mehr.
iPhones mit iOS14 gehen noch.

 

[Wuchtbrumme]

Update2: Ich habe jetzt eine VM mit 10.15.7 und Server.app 5.10 installiert. Hier funktioniert iPad.
Zwischenzeitlich habe ich auch noch einmal die VM von 10.13.6 mit Server.app 5.6.3 von vor den Updates/Änderungen gestartet - und keine Änderung auf den iPadOS14.

Und wie bin ich da hin gekommen? Richtig - weil das VPN plötzlich nicht mehr ging. Und da bin ich immer noch. Geht halt nicht durch den Router, glaube ich. Und ich bin mir ziemlich sicher, dass ich mit 10.13 und VM schonmal rumgesucht habe und das hier auch gepostet hatte. Gnampf.

Update3: Jup - mein Déj)a-Vu hat nicht getäuscht. https://www.apfeltalk.de/community/...-bei-vmware-mit-gebridgtem-vpn-server.532252/
Das Schlimme ist nur, dass das was jetzt nicht mehr geht, damals die Lösung war!