Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2013: SSL v3 und TLS1.0 besser nicht deaktivieren

Mitglied: VeryBigM

VeryBigM (Level 1) - Jetzt verbinden

08.05.2016, aktualisiert 09.05.2016, 3342 Aufrufe, 6 Kommentare

An diesem Wochenende wollte ich Microsofts Empfehlung folgen und SSL v3 und TLS 1.0 auf allen IIS deaktivieren

Ich stellte fest, dass dies keine gute Idee in einem Exchange-Cluster (Exchange 2013) ist, in welchem die CAS und die Mailbox-Server nicht auf der gleichen Maschine liegen.

Die Kommunikation mit den Backend-Services wird dadurch unterbrochen und OWA, ECP, EWS und alle anderen Clientconnections scheitern dann. OWA zeigt nach dem Login die berüchtigte Blank-Page.
Mitglied: Dani
09.05.2016 um 16:57 Uhr
Moin,
zu dem Thema hat Mircosoft letztes Jahr einen Artikel verfasst. Es sind auf seitens Exchange Server bestimmte Builds Vorraussetzung damit dein Vorhaben glückt.


Gruß,
Dani
Bitte warten ..
Mitglied: VeryBigM
09.05.2016 um 18:39 Uhr
Der Artikel beschreibt sehr schön, dass man bis auf weiteres TLS 1.0 (wegen des Proxy) nicht deaktivieren kann. Sie wollen das Problem mit einem CU angehen. Tipp: CU12 beim Exchange Server 2013 hat das Problem noch nicht gelöst.
Bitte warten ..
Mitglied: mathu
10.05.2016 um 12:35 Uhr
Zitat von VeryBigM:

An diesem Wochenende wollte ich Microsofts Empfehlung folgen und SSL v3 und TLS 1.0 auf allen IIS deaktivieren


Bei SSl V3 grundsätzlich ja ne gute Sache, die zu diablen, da diese Verschlüsselungsart bereits unsicher ist.
Aber bei TLS V1.0?
Bitte warten ..
Mitglied: Sheogorath
11.05.2016, aktualisiert um 00:17 Uhr
Moin,

Wäre nicht "Warum überhaupt noch TLS1.1?" die bessere Frage? In einem Unternehmen sollten die Geräte ja ungefähr den gleichen Patchlevel haben, das heißt in diesem Fall sehr aktuell. Eigentlich können alle diese Geräte TLS1.2 wenn ich jetzt nicht irgendeinen externen Hansel auf dem jeweiligen System haben will, reicht es völlig wenn ich nur TLS1.2 unterstütze. Theoretisch!

Praktisch sehen wir ja leider dass es Microsoft irgendwie wieder nicht gebacken bekommt es so zu bauen. Wenn man Mozilla fragt unterstützen Moderne Webserver am besten nur noch TLS1.2.

Von daher stelle ich gerade wieder fest wie glücklich ich bin Sogo statt Exchange zu verwenden ^^.

Gruß
Chris
Bitte warten ..
Mitglied: Dani
11.05.2016 um 19:40 Uhr
Moin,
das geht weiter mit Geräten welche per Outlook Anywhere, Active Sync, Sharepoint, etc... dranhängen. Somit wird solch eine "simple" Sache auf einmal komplex und unübersichtlich. Da kann soll ein Vorhaben ganz schnell eine Produktivumgebung lahmlegen.

Ich weiß nicht wie ihr euch das Entwicklungumgebung von Microsoft vorstellen. Bei der Anzahl von Produkten und den möglichen Kombinationen und Abhängigkeiten ist das sicher kein leichtes Unterfangen.


Gruß,
Dani
Bitte warten ..
Mitglied: Sheogorath
11.05.2016 um 23:19 Uhr
Moin,

Nun ja, das sollte aber auch da nicht an der Crypto scheitern. Diese Läuft zwischen Layer4 und 5 ab und setzt auf systemweite Bibliotheken. Nehmen wir z.B. eine Anwendung die auf OpenSSL basiert. Gebe ich hier als Entwickler gar keinen Defaultwert an, was die Crypto-Algorithmen angeht, nimmt die Bibliothek ihren ganz eigenen Standard der zum Compilierzeitpunkt oder über die systemweiten Einstellungen geregelt wird. Ich kann aber ebenso ziemlich genau bestimmen was ich haben will und was nicht indem ich den entsprechenden Parameter setze. Wenn ich also nur etwas sauberen Code produziere bei der Implementierung meiner Anwendungen sollte ich immer alle Crypto-Algorithmen bereitstehen haben, die eine gewisse Grenze nicht unterschreiten. diese untere Grenze sollte man bei sauberem Code festlegen, die obere nicht.

Hier unterscheiden sich übrigens OpenSSL und die Windows-eigenen Bibliotheken nicht besonders. Sobald also alle Geräte(!)/OS-Instanzen TLS1.2 akzeptieren sollten sie zum einen nur noch TLS1.2 Ciphersuiten benutzen und zum anderen sollte ich auch die Möglichkeit haben bei beliegen Geräten alle nicht TLS1.2 Ciphersuiten abzuschalten. Wenn jetzt was kaputt geht, heißt das, dass irgendwie eine Schnittmenge an Cipheralgorithmen fehlt. Aber im Normalfall sollte das wirklich nicht auftreten, alle gängigen Bibliotheken (Windows/OpenSSL/GNUtls/...) können eigentlich auf TLS1.2 sauber kommunizieren, wenn man die Cipher nicht noch händisch zusätzlich beschneidet.

Das heißt also irgendwo ist da Dreck, den man eigentlich nicht haben will. Den Rest überlasse ich nun dir ;)

Gruß
Chris
Bitte warten ..
Ähnliche Inhalte
Vmware
SSL TLS Fehler Veeam VMware
Information von netscratVmware3 Kommentare

Dank dem Patchday kann es im Vcenter Betrieb zu SSL/TLS Fehlern während der Sicherung kommen. Schuld ist ein Windows ...

Administrator.de Feedback
Neues SSL-Zertifikat von Letsencrypt
Information von admtechAdministrator.de Feedback1 Kommentar

Hallo Administrator User, wir benutzen ab sofort für die administrator.de Domäne ein SSL-Zertifikat von Letsencrypt. Wie immer erhalten wir ...

Microsoft Office
Office 2013 - Aktivierungsprobleme
Tipp von TlBERlUSMicrosoft Office

Hallo Zusammen, ich verfasse dies, da ich letztens etwas gebraucht habe, um dieses Problem zu lösen / das Internet ...

E-Mail

Programm kann keine SSL-E-Mails schicken und Provider bietet nur SSL an? Eventuell ist stunnel "eine Lösung"

Tipp von FA-jkaE-Mail5 Kommentare

Hallo, "man" stolpert ja immer wieder mal über Utilities / Tools / Sachen, die keinen SSL-verschlüsselten E-Mail-Versand können (z.B. ...

Neue Wissensbeiträge
Windows 7

Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleine Info für die Admins der oben genannten Maschinen. Ab Juli 2019 werden Updates von Microsoft nur noch mit ...

Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 2 TagenFirewall2 Kommentare

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 4 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 4 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Heiß diskutierte Inhalte
Hardware
IT-Werkzeugkoffer bis 50,- EUR
gelöst Frage von departure69Hardware40 Kommentare

Hallo. Ich bin als IT-Systembetreuer einer Gemeinde zusätzlich auch der IT-Systembetreuer einer Grund- und Hauptschule. Dort muß ich jedoch ...

Netzwerke
Verteilung von Programmdaten außerhalb des internen Netzwerkes
Frage von mertaufmbergNetzwerke24 Kommentare

Guten Morgen liebe Administratoren, ich versuche zurzeit eine möglichst sichere und einfache Lösung zu suchen, um ein Programmverzeichnis über ...

Netzwerkmanagement
Richtfunknetzwerk mit vielen Hops stabiler gestalten
Frage von turti83Netzwerkmanagement21 Kommentare

Hallo, in meinem Dorf habe ich vor ca. einem Jahr ein Backbone aufgebaut um die Nachbarschaft mit Internet zu ...

Hyper-V
Intel MSC Raid 5 Rebuild
Frage von DannysHyper-V19 Kommentare

Hallo Community, Ich habe einen Modul Server von Intel in Betrieb. Dort ist eine Festplatte aus dem Raid 5 ...