J'ai eu exactement le même message d'erreur quand j'ai tripoté la configuration TLS de mes serveurs emails.
Je cite :
Pour illustrer ça, une petite anecdote. La CPAM envoie des informations à l'ensemble des assurés ("ce que nous faisons pour vous durant le Covid", "attention à la campagne de phishing en cours", etc.). Pour cela, elle a recours à un prestataire, Worldline. Dans le journal de mon Postfix, je lis l'erreur TLS library problem: error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:../ssl/record/rec_layer_s3.c:1544:SSL alert number 80. Sur le web, on trouve aucune aide. Je suis revenu progressivement en arrière dans ma configuration TLS. Au final, Wordline refuse que je priorise les algorithmes d'échange de clés qui ne sont pas basés sur les courbes elliptiques par rapport à ceux qui les utilisent. C'est compréhensible : l'utilisation des courbes elliptiques est un gain de performance, donc de temps. Comme la CPAM n'envoie pas d'emails tous les jours (et que les emails relatifs à une question posée via l'espace personnel emprunte un autre circuit), cette compréhension du problème m'a pris trois mois. Bref, ne fais pas n'importe quoi et surveille tes journaux pendant plusieurs mois.
=> Du côté de ton serveur web, dans la liste des suites de déchiffrement autorisées (« SSLCipherSuite », « ssl_ciphers » ou équivalent), t'as dû mettre EDH avant EECDH.
ÉDIT DU 31/12/2020 À 22 h 30 : un p'tit coup de Wireshark permet de constater que ton serveur ferme la connexion immédiatement après le Client Hello, ce qui signifie qu'il y a quelque chose qui lui déplaît. Si l'on regarde viteuf, on se rend compte que Dillo ne positionne pas le SNI. Si l'on utilise openssl s_client -connect dukeart.netlib.re:443 -4 -tls1_2 -noservername
pour vérifier, on tombe sur l'erreur que tu mentionnes « 139676830008448:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:../ssl/record/rec_layer_s3.c:1544:SSL alert number 80 ». Pour moi, la faute est du côté de Dillo : ne pas implémenter SNI en 2020 est une hérésie. Je l'ai utilisé que 15 minutes, mais j'ai l'impression que tout est foireux dans Dillo : pas de SNI, vérification buguée du nom du serveur avec le CN du certificat x509, une fois sur deux reload ne reload pas le site web, absence d'ergonomie de la barre d'adresses… Waaaah waaaah waaaaaah ! FIN DE L'ÉDIT.