Verschiedene Probleme mit SSL/TLS

HTTPS-Verbindung (bspw. zu WMS Diensten) schlagen fehl

In Verbindung stehende Fehlermeldungen u.a.:

The request was aborted: Could not create SSL/TLS secure channel.

Fehler beim Senden der Anforderung: (12175) Es ist ein Sicherheitsfehler aufgetreten.

Wir verwenden auf unseren Servern das Tool IISCrypto (https://www.nartac.com/Products/IISCrypto/) um die SSL-Parameter einzustellen.

Bezüglich der Cypher Suites haben wir den Best Practices Vorschlag verwendet, wodurch dann ab April 2021 von unseren 2012 R2 Servern keine Verbindung mehr zu verschiedenen Webseiten möglich war.

Eine Analyse bei uns ergab, dass es übereinstimmende Cipher Suites zwischen unseren Servern und dem/den aufgerufenen Endpunkten gibt, diese jedoch bei uns deaktiviert waren. Es handelte sich um diese beiden:

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Die weitere Recherche ergab, dass diese als "weak" angesehen werden, wenn sie mit einer zu kleinen Schlüssellänge verwendet werden und sind daher nicht in dem Satz der Cipher Suites der Best Practices enthalten.

Microsoft hatte schon auf diesen Umstand reagiert und die Möglichkeit geschaffen, eine Mindestschlüssellänge (2048 bits) für DHE-Keys vorzugeben (Registry) und diese Einstellung auch per Windows-Update verbreitet (wir mussten diesbzgl. keine weiteren Schritte unternehmen).

https://www.nartac.com/Products/IISCrypto/FAQ/Why-are-some-of-the-new-cipher-suites-not-included-with-the-best-practices

https://support.microsoft.com/en-us/topic/microsoft-security-advisory-updated-support-for-diffie-hellman-key-exchange-f0ad89ce-dcd5-56e2-9cee-4cbb01b4da1e

Die Aktivierung dieser beiden Cipher Suites erschien uns daher i. O. und ermöglicht wieder die Kommunikation.

Wir empfehlen Tests, bspw. auf www.ssllabs.com, um die Einstellungen gegenzuprüfen.

Iwan6 und MSSQL Server

Tritt beim Laden einer MS Sql Server Ebene mit Iwan6 ein Fehler der Art:

Initialize failed,HRESULT: 0X80004005 SQLSTATE: 08001, Native Error: 3670064 Source: Microsoft SQL Server Native Client 10.0 Error message: Client unable to establish connection HRESULT: 0X80004005 SQLSTATE: 08001, Native Error: 3670064 Error state: 1 Severity: 16 Source: Microsoft SQL Server Native Client 10.0 Error message: TCP Provider: Eine vorhandene Verbindung wurde vom Remotehost geschlossen.

auf, ist dies evtl. ein Problem beim Aushandeln einer verschlüsselten Verbindung mit dem SQL Server in Verbindung mit TLS1.2.

Iwan6 verwendet den Native Client 10. Für diesen gibt es ein Update, welches in dem Fall Abhilfe schafft.

Der Download für die aktualisierte SQLNCLI Version ist hier SQL 2008 and 2008 R2 TLS 1.2 SQL Native Client updates not available in Windows Catalog zu finden.


Zuletzt geändert: 26.04.2021 08:09:49 (erstmals erstellt 23.04.2021)