Ahoj,
máme linux server + databázový MS SQL server na OS Windows Server 2012.
Všechno fungovalo v pořádku, dokud se neprovedly aktualizace jak na linuxu, tak na Windows.
Teď je komunikace značně narušená a má to za následek tyto chyby, které se vyskytují velmi často (defacto co 3-4 minuty..nejspíš vždy, když dojde ke komunikaci)
A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 20. The Windows SChannel error state is 960.
Máme podezření na to, že linuxový balíček php5-sybase je již nepodporovaný a zastaralý a komunikuje šiframi, které windows odmítá. Před updatem bylo všechno ok, takže odinstalace nějakého balíčku, který má na svědomí šifrování by to řešil, ale bohužel všechny
KB u sebe nemají popis...je tam jen odkaz na web, takže bych stovky aktualizací musel prohlížet proklikem na web a přečíst si, která aktualizace co znamená...a ještě s nejistým výsledkem.
Věděl by někdo, jak Windows přesvědčit, aby tyto šifry neodmítal? Nebo jak přijít na to, která aktualizace to měla na svědomí?
Řešením by také byly nové balíčky na linuxovém serveru, bohužel nové balíčky znamenají zásah do zdrojového kódu a tedy přepis aplikace, což je značně náročné...
Našel jsem v group policy (server není v doméně) něco, kde by se šifra dala odmazat:
Computer Configuration > Administrative Templates > Network > SSL configuration Settings > SSL Cipher Suite Order
Tuto policy jsem povolil a nadefinoval šifry, vyloučil jsem z řetězce ty "problémové":
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
...bohužel alespoň z logů na aplikačním linuxovém serveru lze vidět, že je tato šifra stále používána.
Kdyby měl někdo jakýkoliv nápad, jak případně i třeba na test šifrování úplně odstranit, byl bych rád...
díky,
L
