none
Zákaz/omezení šifer

    Dotaz

  • Ahoj,

    máme linux server + databázový MS SQL server na OS Windows Server 2012.
    Všechno fungovalo v pořádku, dokud se neprovedly aktualizace jak na linuxu, tak na Windows.

    Teď je komunikace značně narušená a má to za následek tyto chyby, které se vyskytují velmi často (defacto co 3-4 minuty..nejspíš vždy, když dojde ke komunikaci)

    A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 20. The Windows SChannel error state is 960.

    Máme podezření na to, že linuxový balíček php5-sybase je již nepodporovaný a zastaralý a komunikuje šiframi, které windows odmítá. Před updatem bylo všechno ok, takže odinstalace nějakého balíčku, který má na svědomí šifrování by to řešil, ale bohužel všechny KB u sebe nemají popis...je tam jen odkaz na web, takže bych stovky aktualizací musel prohlížet proklikem na web a přečíst si, která aktualizace co znamená...a ještě s nejistým výsledkem.

    Věděl by někdo, jak Windows přesvědčit, aby tyto šifry neodmítal? Nebo jak přijít na to, která aktualizace to měla na svědomí?

    Řešením by také byly nové balíčky na linuxovém serveru, bohužel nové balíčky znamenají zásah do zdrojového kódu a tedy přepis aplikace, což je značně náročné...

    Našel jsem v group policy (server není v doméně) něco, kde by se šifra dala odmazat:

    Computer Configuration > Administrative Templates > Network > SSL configuration Settings > SSL Cipher Suite Order

    Tuto policy jsem povolil a nadefinoval šifry, vyloučil jsem z řetězce ty "problémové":

    TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA

    ...bohužel alespoň z logů na aplikačním linuxovém serveru lze vidět, že je tato šifra stále používána.

    Kdyby měl někdo jakýkoliv nápad, jak případně i třeba na test šifrování úplně odstranit, byl bych rád...

    díky,

    L

    21. listopadu 2016 11:36

Odpovědi

  • Díky za reakci. V těch registrech by to nejspíš i pomohlo a asi bych do toho šel, kdyby už nebyla jiná možnost.

    Nakonec se mi podařilo zajistit VM s neaktualizovaným OS a postupně jsem přišel na to, které KB to má na svědomí. Kdyby to někdy někdo řešil, tak tohle je ta mrcha:

    KB3172614 (https://support.microsoft.com/en-us/kb/3172614)

    Mám ověřené, že po odinstalaci je problém vyřešen. Díval jsem se na seznam souborů, kterých se tato aktualizace dotýká a je tam mimojiné:

    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Certcli.dll
    Certsrv.exe
    Certsvcctrs.h
    Certsvcctrs.ini
    Microsoft-windows-certificateservices-ca-ppdlic.xrm-ms
    Certenc.dll
    Certutil.exe
    Classpnp.sys
    Ole32.dll
    Rpcss.dll
    Crypt32.dll
    Crypttpmeksvc.dll
    Cryptxml.dll

    Ty adml templaty předpokládám, že mají na svědomí právě pořadí využívaných šifer při komunikaci. Ať je to jak chce, problém je vyřešen...

    díky,

    L


    23. listopadu 2016 9:09

Všechny reakce

  • Jednotlive ciphers se daji povolit/zakazat pres registry. Viz https://support.microsoft.com/en-us/kb/245030
    21. listopadu 2016 13:11
  • Díky za reakci. V těch registrech by to nejspíš i pomohlo a asi bych do toho šel, kdyby už nebyla jiná možnost.

    Nakonec se mi podařilo zajistit VM s neaktualizovaným OS a postupně jsem přišel na to, které KB to má na svědomí. Kdyby to někdy někdo řešil, tak tohle je ta mrcha:

    KB3172614 (https://support.microsoft.com/en-us/kb/3172614)

    Mám ověřené, že po odinstalaci je problém vyřešen. Díval jsem se na seznam souborů, kterých se tato aktualizace dotýká a je tam mimojiné:

    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Ciphersuiteorder.adml
    Certcli.dll
    Certsrv.exe
    Certsvcctrs.h
    Certsvcctrs.ini
    Microsoft-windows-certificateservices-ca-ppdlic.xrm-ms
    Certenc.dll
    Certutil.exe
    Classpnp.sys
    Ole32.dll
    Rpcss.dll
    Crypt32.dll
    Crypttpmeksvc.dll
    Cryptxml.dll

    Ty adml templaty předpokládám, že mají na svědomí právě pořadí využívaných šifer při komunikaci. Ať je to jak chce, problém je vyřešen...

    díky,

    L


    23. listopadu 2016 9:09