Nejčastěji odpovídající uživatel
Zákaz/omezení šifer

Dotaz
-
Ahoj,
máme linux server + databázový MS SQL server na OS Windows Server 2012.
Všechno fungovalo v pořádku, dokud se neprovedly aktualizace jak na linuxu, tak na Windows.Teď je komunikace značně narušená a má to za následek tyto chyby, které se vyskytují velmi často (defacto co 3-4 minuty..nejspíš vždy, když dojde ke komunikaci)
A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 20. The Windows SChannel error state is 960.
Máme podezření na to, že linuxový balíček php5-sybase je již nepodporovaný a zastaralý a komunikuje šiframi, které windows odmítá. Před updatem bylo všechno ok, takže odinstalace nějakého balíčku, který má na svědomí šifrování by to řešil, ale bohužel všechny KB u sebe nemají popis...je tam jen odkaz na web, takže bych stovky aktualizací musel prohlížet proklikem na web a přečíst si, která aktualizace co znamená...a ještě s nejistým výsledkem.
Věděl by někdo, jak Windows přesvědčit, aby tyto šifry neodmítal? Nebo jak přijít na to, která aktualizace to měla na svědomí?
Řešením by také byly nové balíčky na linuxovém serveru, bohužel nové balíčky znamenají zásah do zdrojového kódu a tedy přepis aplikace, což je značně náročné...
Našel jsem v group policy (server není v doméně) něco, kde by se šifra dala odmazat:
Computer Configuration > Administrative Templates > Network > SSL configuration Settings > SSL Cipher Suite Order
Tuto policy jsem povolil a nadefinoval šifry, vyloučil jsem z řetězce ty "problémové":
TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_AES_256_CBC_SHA
...bohužel alespoň z logů na aplikačním linuxovém serveru lze vidět, že je tato šifra stále používána.
Kdyby měl někdo jakýkoliv nápad, jak případně i třeba na test šifrování úplně odstranit, byl bych rád...
díky,
L
Odpovědi
-
Díky za reakci. V těch registrech by to nejspíš i pomohlo a asi bych do toho šel, kdyby už nebyla jiná možnost.
Nakonec se mi podařilo zajistit VM s neaktualizovaným OS a postupně jsem přišel na to, které KB to má na svědomí. Kdyby to někdy někdo řešil, tak tohle je ta mrcha:
KB3172614 (https://support.microsoft.com/en-us/kb/3172614)
Mám ověřené, že po odinstalaci je problém vyřešen. Díval jsem se na seznam souborů, kterých se tato aktualizace dotýká a je tam mimojiné:
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Certcli.dll
Certsrv.exe
Certsvcctrs.h
Certsvcctrs.ini
Microsoft-windows-certificateservices-ca-ppdlic.xrm-ms
Certenc.dll
Certutil.exe
Classpnp.sys
Ole32.dll
Rpcss.dll
Crypt32.dll
Crypttpmeksvc.dll
Cryptxml.dllTy adml templaty předpokládám, že mají na svědomí právě pořadí využívaných šifer při komunikaci. Ať je to jak chce, problém je vyřešen...
díky,
L
- Upravený Já středa 23. listopadu 2016 9:09
- Označen jako odpověď Milos PuchtaModerator pondělí 12. prosince 2016 20:10
Všechny reakce
-
-
Díky za reakci. V těch registrech by to nejspíš i pomohlo a asi bych do toho šel, kdyby už nebyla jiná možnost.
Nakonec se mi podařilo zajistit VM s neaktualizovaným OS a postupně jsem přišel na to, které KB to má na svědomí. Kdyby to někdy někdo řešil, tak tohle je ta mrcha:
KB3172614 (https://support.microsoft.com/en-us/kb/3172614)
Mám ověřené, že po odinstalaci je problém vyřešen. Díval jsem se na seznam souborů, kterých se tato aktualizace dotýká a je tam mimojiné:
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Ciphersuiteorder.adml
Certcli.dll
Certsrv.exe
Certsvcctrs.h
Certsvcctrs.ini
Microsoft-windows-certificateservices-ca-ppdlic.xrm-ms
Certenc.dll
Certutil.exe
Classpnp.sys
Ole32.dll
Rpcss.dll
Crypt32.dll
Crypttpmeksvc.dll
Cryptxml.dllTy adml templaty předpokládám, že mají na svědomí právě pořadí využívaných šifer při komunikaci. Ať je to jak chce, problém je vyřešen...
díky,
L
- Upravený Já středa 23. listopadu 2016 9:09
- Označen jako odpověď Milos PuchtaModerator pondělí 12. prosince 2016 20:10