Eu descobri: a chave privada estava usando o DSA ...
Meio idiota!
Gerei outra chave privada & certificado autoassinado usando RSA e ... voilà!
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 [...]
# apachectl -version
Server version: Apache/2.4.7 (Ubuntu)
Server built: Jul 22 2014 14:36:38
Eu tenho ssl.conf configurado com o padrão SSLCipherSuite ( SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 ). Eu também testei todo tipo de combinações.
Eu verifiquei as cifras disponíveis no host usando openssl ciphers e há muitas cifras RSA.
Aqui estão as dependências do meu mod_ssl.so:
# locate mod_ssl.so
/usr/lib/apache2/modules/mod_ssl.so
# ldd 'locate mod_ssl.so'
linux-vdso.so.1 => (0x00007fffb5dfe000)
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f915c0ba000)
libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007f915bce0000)
[... omitted libpthread and libc ...]
Ldd em /usr/bin/openssl produz as mesmas dependências em libssl e libcrypto (v 1.0.0).
Não consigo obter uma conexão usando a cifra RSA. Eu verifiquei aqueles usando openssl s_client -connect <server>:<port> -cipher 'ANY-RSA-CIPHER' .
Também executei uma análise no link que confirma os comandos openssl: apenas o DSS é suportado.
Este é um problema, pois o firefox 37 não suporta mais o DSS, resultando em um erro ssl_error_no_cypher_overlap.
Alguma ideia?
Tags firefox openssl apache-2.4 rsa