itnirvana
Goto Top

TLS 1.2 von 2 identischen Servern bringt einer Could not create SSL TLS secure

Hallo,

ein Server wurde mal von einem anderen geklont. Nun kann einer auf eine Webseite mit HTTPS zugreifen, der andere nicht.

Bei einem kommt beim oeffnen Webseite :

This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner.

Your TLS security settings aren’t set to the defaults, which could also be causing this error.

Event Viewer brint Fehler A fatal error occurred while creating a TLS client credential. The internal error state is 10013.
Nach paar Aenderungen sehe ich diese Meldung aber nicht mehr im Eventvwr

Ich stellte den Server der icht geht per Browser auf TLS 1.2 wie den anderen Server. Explizit

Ich habe auch nach dem TLS 1.2 Setting einstellt https://techcommunity.microsoft.com/t5/microsoft-365/tls-1-2-enabled-reg ... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2 Client und Server key angepasst. Er hatte dann gleiche Settings wie der Server bei dem es geht..

Dann im Eventlog :
Log An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The TLS connection request has failed

Jemand eine Idee ?

Gruss
Paul

Content-Key: 41998053953

Url: https://administrator.de/contentid/41998053953

Printed on: July 24, 2024 at 21:07 o'clock

Member: stacktrace
stacktrace Jun 04, 2024 at 06:57:02 (UTC)
Goto Top
Hallo Paul,

but none of the cipher suites supported by the client application are supported by the server
Der Client bietet nicht die nötigen Ciphersuites an, die der Server unterstützt.

Diese aktivieren / anpassen, dann wuppt das.
blog.nartac.com/2022/10/31/iis-crypto-3-3-released/

Gruß
Member: itnirvana
itnirvana Jun 04, 2024 at 06:58:45 (UTC)
Goto Top
Habe noch das gefunden : https://michaelhowardsecure.blog/2022/02/10/restricting-tls-1-2-ciphersu ...

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 enthält scheinbar alle Cyper die im TLS 1.2 verwendet werden. Ich werde mal diesen Key von dem wo es geht exportieren und bei dem wo es nicht geht importieren
Member: itnirvana
itnirvana Jun 04, 2024 at 07:00:44 (UTC)
Goto Top
Da steht aber TLS 1.3
Member: itnirvana
itnirvana Jun 04, 2024 at 07:23:57 (UTC)
Goto Top
Habe mit dem Tool verglichen blog.nartac.com/2022/10/31/iis-crypto-3-3-released/
Der server der nicht geht, hat die gleichen Cyper laut Tool wie der der geht ?
Wenn ich das richtig interpretiere zeigt er ja an, was momentan lauft und aktiviert ist...


Gruss
Paul.
Member: itnirvana
itnirvana Jun 04, 2024 at 08:06:00 (UTC)
Goto Top
Es war im TLS auf Client only gestellt. Nun geht es..
Member: GrueneSosseMitSpeck
GrueneSosseMitSpeck Jun 04, 2024 at 11:07:51 (UTC)
Goto Top
Tips am Rande....

1.) die Behandlung von "Nicht definiert" Zuständen nach "erlaubt" und "verboten" ändert sich Monat für Monat, tlw mit jedem Patch. Wer TLS einsetzen möchte sollte auch alle Parameter definieren.... per GPO oder per .reg Datei

2.) Nartac IISCrypto ist dein bester Freund... mit keinem anderen Tool ist es einfacher, zu beurteilen ob Server und Client überhaupt eine Chance für eine erfolgreiche Verbindung haben und die letzte Version zeigt auch die Einstellungen an, wie der "nicht definiert" Zustand aufgelöst wird, x für "implizit erlaubt" und leer für "implizit verboten"