TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden  [GELÖST]

Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Blackmoon »

Hallo zusammen,
die Chiper Suites sind unseren Tests nach zu eng gefasst. Ein Intenet Explorer 11 auf Windows Server 2012R2/2016/2019 kann auf Webseiten unter KH 20.1 nicht mehr verbinden. Wir haben die Anpassungen aus der Not heraus manuell vorgenommen. Aber evtl. für das nächste Update die Cipher Suites doch noch aufnehmen.

Grüße

[Mod-Edit]
Beitrag vom ursprünglichen Thread getrennt und als neuer Thread nach Bedienung nund Nutzung verschoben.
Last edited by Jolinar on Sat 23. May 2020, 15:04, edited 1 time in total.
Reason: Mod-Edit
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Jolinar »

Blackmoon wrote: Sat 23. May 2020, 14:52 die Chiper Suites sind unseren Tests nach zu eng gefasst
Dafür bietet ja das Panel die Möglichkeit, die Cipher individuell festzulegen.

Blackmoon wrote: Sat 23. May 2020, 14:52 Aber evtl. für das nächste Update die Cipher Suites doch noch aufnehmen.
IMHO sind die standardmäßig gesetzten Cipher für die meisten Einsatzszenarien völlig ausreichend.
Eine grundsätzliche Aufweichung der Sicherheit nur wegen ein paar verirrter IE-Nutzer halte ich persönlich nicht für zielführend. Es gibt genug Browseralternativen, die mit den empfohlenen Cipher klarkommen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by OlliTheDarkness »

Eine grundsätzliche Aufweichung der Sicherheit nur wegen ein paar verirrter IE-Nutzer halte ich persönlich nicht für zielführend. Es gibt genug Browseralternativen, die mit den empfohlenen Cipher klarkommen.
IE Nutzern empfehle ich grundsätzlich zu einem guten Psychiater.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Blackmoon »

Der Internet Explorer 11 habe ich der einfachhalber genannt. Wir haben verschiedene Anwendungen auf Basis von .NET Framework im Einsatz. Diese greifen wie der Internet Explorer auf die Module von Windows (Server) zurück. Windows bietet SCHANNEL (SSP) und WinHTTP an. Alle Anwendungen, auf dessen Basis konnten nicht mehr die Daten via HTTPS auf dem KH-Server hochladen.
IE Nutzern empfehle ich grundsätzlich zu einem guten Psychiater.
Von Nutzen kann in meinem Fall keine Rede sein. Unabhängig davon gibt es nach wie vor Szenarien, wo ein Einsatz von weiteren Browsern auf Windows Servers durch den Tätigkeitsbereich des Unternehmens nicht erlaubt sind. Wer mit Verschlusssachen oder an technischen Richtlinien vom BSI halten muss, weiß was ich meine.
Last edited by Blackmoon on Sat 23. May 2020, 18:07, edited 1 time in total.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Jolinar »

Blackmoon wrote: Sat 23. May 2020, 16:45 Unabhängig davon gibt es nach wie vor Szenarien, wo ein Einsatz von weiteren Browsern auf Windows Servers durch den Tätigkeitsbereich des Unternehmens nicht erlaubt sind. Wer mit Verschlusssachen oder an technischen Richtlinien vom BSI halten muss, weiß was ich meine.
Genau auf solche Spezialfälle zielte mein Hinweis auf die individuelle Anpaßbarkeit der Cipher ab. 8-)

BTW:
Für alle, die hier mitlesen und sich mit der Auswahl der richtigen Cipher nicht so auskennen...Hier kann man sich die benötigten Cipher raussuchen, um sie dann im Adminpanel einzutragen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden  [GELÖST]

Post by Martin »

Hallo,

da ich das Thema auch schon mit einem Exchange Kunden hatte, die Aktivierung der CBC Cipher ist bewusst standardmäßig nicht erfolgt, da diese inzwischen als Weak anzusehen sind. Aktiv sind folglich nur Cipher mit GCM.

Zumindest zwei der standardmäßig bei KeyHelp nun aktiven GCM Cipher werden grundsätzlich auch von jedem Windows ab Windows 2008R2/Windows 7 unterstützt. Mir unverständlicherweise aktiviert Microsoft die GCM Cipher aber nicht standardmäßig, sodass dies bei Windows ggf. noch manuell aktiviert werden müsste. Warum Microsoft diese standardmäßig inaktiv lässt obwohl sie unterstützt werden müsste man wohl direkt Microsoft fragen.

Es handelt sich um die folgenden beiden Cipher:

Code: Select all

DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
Auf folgenden Weg können diese nachträglich bei den Windowssystemen aktiviert werden (bei neueren Systemen sind diese auch standardmäßig aktiv):
1.Regedit öffnen und zu
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
navigieren

2.Den Wert für die Zeichenfolge „Functions“ um die Zeichenfolge
"TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,“
erweitern.
Den Wert am Anfang einfügen (Priorität!) und die Kommata beachten.

3.Server ggf. neu starten
Ansonsten steht, wie Jolinar bereits schrieb, auch die Möglichkeit der individuellen Anpassung der Cipher in KeyHelp zur Verfügung.
Viele Grüße,
Martin
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Jolinar »

Danke Martin, ich habe deinen Beitrag mal als Lösung für diesen Thread markiert und deinen Workaround hier in die Bastelecke eingetragen, damit man bei erneuten Nachfragen direkt drauf verlinken kann. 8-)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Martin »

Hallo,

kein Problem, war auch froh das mir hier der Exchange Admin den Tipp geben konnte. (Windowsserver hab ich so aktuell keine vor mir)
Eine Anmerkung noch falls das unklar sein sollte. Bei 3) der Neustart meint das betreffende Windowssystem, nicht den KeyHelp Server.

Die Auflistung von Windows unterstützter Cipher findet sich ansonsten hier:
https://docs.microsoft.com/en-us/window ... n-schannel
Viele Grüße,
Martin
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Jolinar »

Martin wrote: Sun 24. May 2020, 12:11 Bei 3) der Neustart meint das betreffende Windowssystem, nicht den KeyHelp Server.
Ich hab es der Einfachheit halber in den Quote in der Bastelecke reineditiert. 8-)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Martin »

Hallo,

achja, und das ganze gilt natürlich auch nur für ältere Windows ab 2008R2/Windows 7. Neuere Versionen (ich denke ab Windows Server 2016 bzw Windows 10) haben die GCM Cipher auch standardmäßig aktiv. (Die können dann zudem auch die ECDHE Cipher)

Wie es um TLS 1.3 bei Windows bestellt ist weiß ich allerdings nicht, kann das hier ggf. jemand beantworten? Ubuntu 18.04 und Debian 10 beherrschen dies ja inzwischen.
Viele Grüße,
Martin
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Jolinar »

Martin wrote: Sun 24. May 2020, 12:34 das ganze gilt natürlich auch nur für ältere Windows ab 2008R2/Windows 7. Neuere Versionen (ich denke ab Windows Server 2016 bzw Windows 10) haben die GCM Cipher auch standardmäßig aktiv. (Die können dann zudem auch die ECDHE Cipher)
Hmm...Das würde dann aber der Aussage des TE widersprechen:
Blackmoon wrote: Sat 23. May 2020, 14:52 Ein Intenet Explorer 11 auf Windows Server 2012R2/2016/2019 kann auf Webseiten unter KH 20.1 nicht mehr verbinden.

Leider habe ich keine Windows-Server oder ältere Windows-Clients zum Testen zur Verfügung.
Vielleicht könnte Blackmoon hier nochmal auf seinen Systemen schauen, welche Windows-Versionen es genau betrifft...
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Martin »

Hallo,

Hat Windows Server 2019 nicht aber auch Edge der die GCM Cipher bereits nutzt? Ggf. sind dort nur in IE 11 die modernen Cipher nicht aktiv, da Microsoft dessen Entwicklung ja schon vor geraumer Zeit eingestellt hatte.
Viele Grüße,
Martin
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by stfn116 »

erst einmal super, dass sich hier auch um so "alte" Nischenprodukte wie den IE 11 gekümmert wird.
Erscheinungsdatum: 17. Oktober 2013; vor 6 Jahren


Vielen vielen Dank, ich werde den betroffenen Windows Server mal testen, kommt für mich aber auch nicht infrage, da ein anderer Browser genutzt wird.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Jolinar »

Martin wrote: Sun 24. May 2020, 13:02 Ggf. sind dort nur in IE 11 die modernen Cipher nicht aktiv, da Microsoft dessen Entwicklung ja schon vor geraumer Zeit eingestellt hatte.
Hier müßte der TE vielleicht mal hinterfragen, ob in seinem speziellen Setup die Nutzung von Edge anstatt IE11 infrage kommen könnte.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden

Post by Blackmoon »

Hat Windows Server 2019 nicht aber auch Edge der die GCM Cipher bereits nutzt?
Du hast Recht. In meiner Aufzählung ist 2019 falsch.
Warum Microsoft diese standardmäßig inaktiv lässt obwohl sie unterstützt werden müsste man wohl direkt Microsoft fragen.
Microsoft hat noch nie nach Veröffentlichung einer Produktversion nachträglich an der Implementierung der SSL/TLS Protokoll und Cipher Suites hantiert. Das hat u.a. mit der Zertifizierung von Anwendungen für die Betriebssysteme bzw. auch die Abhängigkeiten zu anderne Microsoft Produkten zu tun. Zum anderen wird die Implementierung von weiteren Protokollen und Cipher Suites gerade bei Windows 7/8(.1) und Server 2008(R2)/2012(R2)/2016 erheblich sein. Für ein Produkt, dass bereits bzw. absehbarer Zeit abgekündigt ist, nicht wirtschaftlich. Mal davon abgesehen, dass der Microsoft Support als auch Hersteller von 3rd Party Anwendungen massiv mit Supportanfragen geflutet werden.
Wie es um TLS 1.3 bei Windows bestellt ist weiß ich allerdings nicht, kann das hier ggf. jemand beantworten? Ubuntu 18.04 und Debian 10 beherrschen dies ja inzwischen.
TLS 1.3 ist in .NET Framework 4.8 bereits enthalten. Für Windows 10 und Windows Server 2019 (SCHANNEL und WinHTTP) ist es mehr oder weniger im Anflug. In einem Insider Build von Windows 10, 2004 sieht man in der Registry schon entsprechende Einträge. Mit ein bisschen Glück ist im finalen Build, der Ende Mai erscheint, TLS 1.3 enthalten.
Ggf. sind dort nur in IE 11 die modernen Cipher nicht aktiv, da Microsoft dessen Entwicklung ja schon vor geraumer Zeit eingestellt hatte.
Auf Windows Servern ist nach wie vor Internet Explorer 11 integriert und erhält auch von Microsoft entsprechend Updates. Der Tag wird sicherlich kommen, wo der Internet Explorer 11 durch Micrososft Edge Chromium ersetzt wird. Wir vermuten, dass Microsoft erst einmal den Rollout unter Windows 10 auswertet und bewertet, bevor man den nächsten Schritt macht.

Unabhängig davon greift meines Wissens nach Chromium nicht auf SCHANNEL von Windows zurück sondern hat eine eigene Bibliothek. Einfaches Beispiel ist Google Chrome unter Windows 7, wo standardmäßig TLS 1.2 im SCHANNAL standardmäßig deaktiviert ist, aber Chrome problemlos TLS 1.2 nutzen konnte.
Vielen vielen Dank, ich werde den betroffenen Windows Server mal testen, kommt für mich aber auch nicht infrage, da ein anderer Browser genutzt wird.
Auf jeden Fall vorsichtig sein. Windows Server bzw. deren Dienste und/oder 3rd party Anwendungen in Verbindung mit einer Domäne sind da empfindlich. Ich habe bei uns schon PFEs fluchen gehört, weil Microsoft Produkt A nicht mit neuen Cipher Suites des Mcirosoft Produkt B umgehen konnte.
Locked