Проблемы с загрузкой сайта и подключениями sql при отключении старого SSL на Server 2008 R2 - PullRequest
Новая
       18

Проблемы с загрузкой сайта и подключениями sql при отключении старого SSL на Server 2008 R2

0 голосов
/ 23 октября 2019

У нас есть несколько компьютеров с Server 2008 R2 (я знаю, что мы надеемся вскоре перейти на новые серверы), которые мы пытаемся отключить старые протоколы SSL и шифры в соответствии с рекомендациями по безопасности, и у меня возникли неожиданные проблемы,Я ожидал, что более старые версии IE не смогут загружать веб-сайты, обслуживаемые с этих серверов IIS, но на самом деле я обнаружил, что Chrome v78 не может подключиться к сайту, где IE11 все еще может. Кроме того, этот сервер не может подключиться к экземплярам SQL 2008 (10.0.5520) на другом сервере, и у меня возникают проблемы с поиском последних версий протоколов и шифров, которые я могу использовать для этой работы. Ниже приведено то, что мы настроили для поддержки сервера, и я попытался включить TLS 1.1 и шифры TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, но пока не повезло, и мне приходится каждый раз перезагружать сервер для тестирования, так что это неприятно, так что интересноесть понимание?

IIS Crypto Settings

enter image description here

Chrome не может загрузить сайт вообще: enter image description here

SQL Server не будет подключаться: enter image description here

1 Ответ

0 голосов
/ 25 октября 2019

Поскольку я не нашел никакой информации, мне пришлось просто протестировать целый набор настроек. Я обнаружил, что SQL Server 2008 поддерживает только TLS 1.0.

Я обнаружил, что проблема с Chrome заключается в том, что рукопожатие не поддерживает некоторые из шифров, поэтому, когда я отключил почти все из них, IE все еще принимал те, которые были у меня, но Chrome этого не делал.

И еще одна вещь, которую я обнаружил, заключается в том, что инструмент IIS Cryto вводит в заблуждение, поскольку он позволяет проверять несколько протоколов, которых нет даже на сервере.

Я использовал этот инструмент сканирования SSL изhttps://github.com/rbsec/sslscan/releases чтобы узнать, что на самом деле выводил сервер.

И да, я собираюсь обновить с 2008 года.

Я также понял, что SSL для общедоступного доступа на самом деле обслуживается с прокси-сервера, поэтому он предназначен только для внутренней связи SSL, которую мне нужно настроить непосредственно на сервере приложений.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...