misterunknown: Problem/ungewöhnliches Verhalten mit dem Apache

problematische Seite

Moin,

ich habe folgendes Verhalten:

  • https://misterunknown.de ist aufrufbar (ich hoffe zumindest, dass es das für jeden von euch ist)
  • per openssl bekomme ich 403 Forbidden:
$ openssl s_client -connect misterunknown.de:443 -CApath /usr/share/ca-certificates/mozilla/
#
# Zertifikatszeug
#
---
GET / HTTP/1.1
Host: misterunknown.de

HTTP/1.1 403 Forbidden
Date: Tue, 02 Feb 2016 16:57:38 GMT
Server: Apache
Strict-Transport-Security: max-age=15768000; preload
Public-Key-Pins: pin-sha256="PoU75jd2mJ3lbfLdxTlgMhpQ9eemgMaQSA/bRrcQRlk="; max-age=5184000
Vary: Accept-Encoding
Content-Length: 202
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
</body></html>
closed

Installiert ist ein Wordpress mit der Default-htaccess-Datei. Andere Rewrites werden im Apache nicht gemacht. Der Zugriff auf das Verzeichnis ist (logischerweise) freigegeben. Curl und wget funktionieren ebenfalls. Im ErrorLog tauchen keine Fehlermeldungen auf, im Access-Log sehe ich, dass der Request mit 403 beantwortet wird, aber nicht warum. Das RewriteLog spuckt selbst auf höchster Einstellung nichts aus.

Kann mir das jemand erklären?

Grüße, Marco

  1. problematische Seite

    Hallo misterunknown,

    Kann mir das jemand erklären?

    Nein, das kannst du nur wenn du nachforschst, was genau da konfiguriert ist. Aber was ich dir nennen kann ist die Ursache: ohne den Accept-Encoding: gzip-Header wird ein 403 geschickt, mit wird der Request mit einem 200 beantwortet.

    LG,
    CK

    1. problematische Seite

      Moin,

      Nein, das kannst du nur wenn du nachforschst, was genau da konfiguriert ist.

      Also ich hab jetzt noch ein bisschen nachgeforscht und herausgefunden, dass ich wohl SNI übersehen hatte. Ich hatte vermutet, dass openssl den angegebenen Hostnamen als ServerName verwendet, das ist aber nicht der Fall. Mit

      $ openssl s_client -connect misterunknown.de:443 -servername misterunknown.de ...
      

      gehts :)

      Aber was ich dir nennen kann ist die Ursache: ohne den Accept-Encoding: gzip-Header wird ein 403 geschickt, mit wird der Request mit einem 200 beantwortet.

      Hm, das kann ich hier nicht reproduzieren, aber ich guck mir das mal genauer an. Danke für deine Mühe ;)

      Grüße, Marco