Dobrý den,
po odstávce dne 4.6.2022 - 5.6.2022 se u jednoho klienta není možné připojit předpokládám, že došlo k úpravě šifrovacích sad.
Každopádně dle seznamu podporovaných šifrovacích sad by měly být k dispozici 2 konkrétní (TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384).
Stejný problém je i v testovacím prostředí konkrétně testujeme na schránce: p4ra8ej naposledy dnes v 12:56
Není možné zjistit jestli se jedná skutečně o problém v šifrovacích sadách, případně poslat informaci kterou šifrovací sadou se klient snaží připojit.
Děkuji
Jan Balcařík
Aplikace : NET. Framework 4.7.2
TLS: Zapnuté na TLS1.2
Operační systém: Windows 2012 R2
Seznam podporovaných šifrovacích sad na serveru dle informace v registrech: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002\Function
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_NULL_SHA
SSL_CK_RC4_128_WITH_MD5
SSL_CK_DES_192_EDE3_CBC_WITH_MD5
86.1 Re: Nelze vytvořit zabezpečený kanál SSL/TLS
602jsima 09.06.2022 12:16Dobrý den,
na toto neumím odpovědět. Pošlete tento dotaz (včetně IP adresy) do eporadny (tj. do CallCentra) https://info.mojedatovaschranka.cz/info/cs/eporadna.html. Někdo se ozve.
Zřejmě Váš klient používá jiné sady, než jsou v OS.
Na Veřejném testu je toto zapnuto již od září 2020 (!) právě proto, aby k tomuto nedošlo na Produkci a ostrých schránkách, vývojáři byli minimálně 3x upozorněni.
Jan Šíma
ISDS
86.2 Re: Nelze vytvořit zabezpečený kanál SSL/TLS
jan.balcarik@gmail.com 09.06.2022 12:42Dobrý den,
děkuji za upozornění, samozřejmě jsme vytvořili testovací aplikaci, aby klienti otestovali, zda bude jejich aplikace funkční i po aktualizaci.
Bohužel ne všichni klienti tuto věc udělají, a řeší problém až nastane.
Jak jsem psal, tak aktuální instance by měla podporovat toto šifrování, bohužel z nějakého důvodu pravděpodobně nepodporuje.
Mne šlo čistě o informaci, zda je možné na vaší straně zjistit šifrovací sadu kterou se klient připojuje a zda se jedná o tento problém,
tím by se nám zjednodušila diagnostika, respektive bychom lépe nasměrovali IT oddělení klienta.
Jedná se o produkční server, a tak tam nechceme příliš experimentovat.
Každopádně děkuji za informaci, kam se obrátit.
Děkuji