Serverwechsel + SSL == einzelne Nutzer keine Verbindung

[Tristan]

Hallo zusammen,

nach der Migration eines Projekts zu einem anderen Provider, hat ein winziger Bruchteil der Nutzer Probleme beim Aufruf der entsprechenden Webseite, im Sinne von "Verbindung unterbrochen", "Verbindung nicht möglich" (Bekomme mal jemand ordentliche Angaben zum Fehler :twisted:). Kurzum: Die Startseite wird nicht aufgerufen.

Da in einem Bereich mit vertraulichen Informationen, ist SSL Zwangsbedingung. Wir haben das über einen redirect auf https://domain.tld/ gelöst.
Ohne SSL funktioniert das Ganze einwandfrei. Subdomain mit selbst signiertem Zertifikat funktioniert.

In den Logfiles findet sich absolut nichts zu diesem Vorgang, mit Ausnahme des access logs, in dem ordnungsgemäß der 301er für den redirect vermerkt ist.

Vorübergehende Lösung war jetzt erst einmal das Herausnehmen des redirects, was einerseits nicht Sinn und Zweck der Sache, andererseits auch vertraglich unmöglich ist.

Hat irgendjemand einen Denkanstoß, eine Idee oder sonst etwas auf Lager?

Liebe Grüße
Tristan

[ddm3ve]

Prüfe doch mal, was der apache Server Status dazu sagt, eventuell zu wenige Worker Threads gestartet, so dass keine weiteren Verbindungen aufgemacht werden können.

[Tristan]

mod_status liefert mir nichts Dementsprechendes. Als Schuss in's Blaue und dank großzügig dimensionierter Hardware hatte ich allerdings heute morgen schon dem Apachen mal ein paar höhere Werte spendiert, was ergebnislos blieb.

Problematisch ist halt, dass exakt die gleiche Leute an den jeweiligen Internetverbindungen, aber mit verschiedenen Rechnern diesen Fehler reproduzieren können. Sobald sie mit ihrem Rechner einen anderen Zugang nutzen, funktioniert das Ganze.

Andere SSL-Seiten, auf anderen Blechen beim gleichen Hoster, sind allerdings nicht betroffen.

[ddm3ve]

DNS? ggf. zwischen gelagerter Proxy des providers....
Das kann manigfaltig sein.

[Tristan]

DNS-Cfg. sollte stimmen. Validatoren sagen nix Gegenteiliges.

Klientseitig wurde schon entsprechend der DNS-Cache geleert, andere Browser installiert.

Hmm... Proxys waren jetzt nicht offensichtlich in Verwendung, aber ich hätte wohl schon mal schauen sollen, ob die paar Nutzer evtl. den gleichen Provider verwenden.

Auffällig war bisher nur, dass es sich scheinbar reinweg um Nutzer von XP handelt.

Ich kann diesen Fehler aber auch nicht anderswo reproduzieren.... habe mal spaßeshalber von außen künstlich eine Menge Load erzeugt, und über den RD eines in den USA gehosteten Win-Servers zugegriffen. Funktioniert tadellos. Klar, ist nur eine Spielerei, und hat keinerlei Aussagekraft. ;)

[Joe User]

Was ist das genau für ein Zertifikat?
Wird ein Zwischenzertifikat benötigt?
Verwendest Du SNI beim Webserver?

[Tristan]

Was genau für ein Zertifikat kann ich dir nicht wirklich sagen. Das existierte hier schon lange vor meiner Zeit. :D

Vielleicht hilft das? alphassl CA G2

Ein Intermediate wird benötigt, wird aber korrekt geliefert.

Nö, Apache ohne SNI... dazu sind mir zu viele alte Browser bei denen Nutzern unterwegs.

[Joe User]

Wenn das Zertifikat schon länger existiert, ist es überhaupt noch gültig?

[Tristan]

Jop, ist gültig.