TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden [GELÖST]
TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Hallo zusammen,
die Chiper Suites sind unseren Tests nach zu eng gefasst. Ein Intenet Explorer 11 auf Windows Server 2012R2/2016/2019 kann auf Webseiten unter KH 20.1 nicht mehr verbinden. Wir haben die Anpassungen aus der Not heraus manuell vorgenommen. Aber evtl. für das nächste Update die Cipher Suites doch noch aufnehmen.
Grüße
[Mod-Edit]
Beitrag vom ursprünglichen Thread getrennt und als neuer Thread nach Bedienung nund Nutzung verschoben.
die Chiper Suites sind unseren Tests nach zu eng gefasst. Ein Intenet Explorer 11 auf Windows Server 2012R2/2016/2019 kann auf Webseiten unter KH 20.1 nicht mehr verbinden. Wir haben die Anpassungen aus der Not heraus manuell vorgenommen. Aber evtl. für das nächste Update die Cipher Suites doch noch aufnehmen.
Grüße
[Mod-Edit]
Beitrag vom ursprünglichen Thread getrennt und als neuer Thread nach Bedienung nund Nutzung verschoben.
Last edited by Jolinar on Sat 23. May 2020, 15:04, edited 1 time in total.
Reason: Mod-Edit
Reason: Mod-Edit
- Jolinar
- Community Moderator
- Posts: 3593
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Dafür bietet ja das Panel die Möglichkeit, die Cipher individuell festzulegen.
IMHO sind die standardmäßig gesetzten Cipher für die meisten Einsatzszenarien völlig ausreichend.
Eine grundsätzliche Aufweichung der Sicherheit nur wegen ein paar verirrter IE-Nutzer halte ich persönlich nicht für zielführend. Es gibt genug Browseralternativen, die mit den empfohlenen Cipher klarkommen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
IE Nutzern empfehle ich grundsätzlich zu einem guten Psychiater.Eine grundsätzliche Aufweichung der Sicherheit nur wegen ein paar verirrter IE-Nutzer halte ich persönlich nicht für zielführend. Es gibt genug Browseralternativen, die mit den empfohlenen Cipher klarkommen.
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Der Internet Explorer 11 habe ich der einfachhalber genannt. Wir haben verschiedene Anwendungen auf Basis von .NET Framework im Einsatz. Diese greifen wie der Internet Explorer auf die Module von Windows (Server) zurück. Windows bietet SCHANNEL (SSP) und WinHTTP an. Alle Anwendungen, auf dessen Basis konnten nicht mehr die Daten via HTTPS auf dem KH-Server hochladen.
Von Nutzen kann in meinem Fall keine Rede sein. Unabhängig davon gibt es nach wie vor Szenarien, wo ein Einsatz von weiteren Browsern auf Windows Servers durch den Tätigkeitsbereich des Unternehmens nicht erlaubt sind. Wer mit Verschlusssachen oder an technischen Richtlinien vom BSI halten muss, weiß was ich meine.IE Nutzern empfehle ich grundsätzlich zu einem guten Psychiater.
Last edited by Blackmoon on Sat 23. May 2020, 18:07, edited 1 time in total.
- Jolinar
- Community Moderator
- Posts: 3593
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Genau auf solche Spezialfälle zielte mein Hinweis auf die individuelle Anpaßbarkeit der Cipher ab.Blackmoon wrote: ↑Sat 23. May 2020, 16:45 Unabhängig davon gibt es nach wie vor Szenarien, wo ein Einsatz von weiteren Browsern auf Windows Servers durch den Tätigkeitsbereich des Unternehmens nicht erlaubt sind. Wer mit Verschlusssachen oder an technischen Richtlinien vom BSI halten muss, weiß was ich meine.
BTW:
Für alle, die hier mitlesen und sich mit der Auswahl der richtigen Cipher nicht so auskennen...Hier kann man sich die benötigten Cipher raussuchen, um sie dann im Adminpanel einzutragen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden [GELÖST]
Hallo,
da ich das Thema auch schon mit einem Exchange Kunden hatte, die Aktivierung der CBC Cipher ist bewusst standardmäßig nicht erfolgt, da diese inzwischen als Weak anzusehen sind. Aktiv sind folglich nur Cipher mit GCM.
Zumindest zwei der standardmäßig bei KeyHelp nun aktiven GCM Cipher werden grundsätzlich auch von jedem Windows ab Windows 2008R2/Windows 7 unterstützt. Mir unverständlicherweise aktiviert Microsoft die GCM Cipher aber nicht standardmäßig, sodass dies bei Windows ggf. noch manuell aktiviert werden müsste. Warum Microsoft diese standardmäßig inaktiv lässt obwohl sie unterstützt werden müsste man wohl direkt Microsoft fragen.
Es handelt sich um die folgenden beiden Cipher:
Auf folgenden Weg können diese nachträglich bei den Windowssystemen aktiviert werden (bei neueren Systemen sind diese auch standardmäßig aktiv):
da ich das Thema auch schon mit einem Exchange Kunden hatte, die Aktivierung der CBC Cipher ist bewusst standardmäßig nicht erfolgt, da diese inzwischen als Weak anzusehen sind. Aktiv sind folglich nur Cipher mit GCM.
Zumindest zwei der standardmäßig bei KeyHelp nun aktiven GCM Cipher werden grundsätzlich auch von jedem Windows ab Windows 2008R2/Windows 7 unterstützt. Mir unverständlicherweise aktiviert Microsoft die GCM Cipher aber nicht standardmäßig, sodass dies bei Windows ggf. noch manuell aktiviert werden müsste. Warum Microsoft diese standardmäßig inaktiv lässt obwohl sie unterstützt werden müsste man wohl direkt Microsoft fragen.
Es handelt sich um die folgenden beiden Cipher:
Code: Select all
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
Ansonsten steht, wie Jolinar bereits schrieb, auch die Möglichkeit der individuellen Anpassung der Cipher in KeyHelp zur Verfügung.1.Regedit öffnen und zu
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
navigieren
2.Den Wert für die Zeichenfolge „Functions“ um die Zeichenfolge
"TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,“
erweitern.
Den Wert am Anfang einfügen (Priorität!) und die Kommata beachten.
3.Server ggf. neu starten
Viele Grüße,
Martin
Martin
- Jolinar
- Community Moderator
- Posts: 3593
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Danke Martin, ich habe deinen Beitrag mal als Lösung für diesen Thread markiert und deinen Workaround hier in die Bastelecke eingetragen, damit man bei erneuten Nachfragen direkt drauf verlinken kann.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Hallo,
kein Problem, war auch froh das mir hier der Exchange Admin den Tipp geben konnte. (Windowsserver hab ich so aktuell keine vor mir)
Eine Anmerkung noch falls das unklar sein sollte. Bei 3) der Neustart meint das betreffende Windowssystem, nicht den KeyHelp Server.
Die Auflistung von Windows unterstützter Cipher findet sich ansonsten hier:
https://docs.microsoft.com/en-us/window ... n-schannel
kein Problem, war auch froh das mir hier der Exchange Admin den Tipp geben konnte. (Windowsserver hab ich so aktuell keine vor mir)
Eine Anmerkung noch falls das unklar sein sollte. Bei 3) der Neustart meint das betreffende Windowssystem, nicht den KeyHelp Server.
Die Auflistung von Windows unterstützter Cipher findet sich ansonsten hier:
https://docs.microsoft.com/en-us/window ... n-schannel
Viele Grüße,
Martin
Martin
- Jolinar
- Community Moderator
- Posts: 3593
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Ich hab es der Einfachheit halber in den Quote in der Bastelecke reineditiert.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Hallo,
achja, und das ganze gilt natürlich auch nur für ältere Windows ab 2008R2/Windows 7. Neuere Versionen (ich denke ab Windows Server 2016 bzw Windows 10) haben die GCM Cipher auch standardmäßig aktiv. (Die können dann zudem auch die ECDHE Cipher)
Wie es um TLS 1.3 bei Windows bestellt ist weiß ich allerdings nicht, kann das hier ggf. jemand beantworten? Ubuntu 18.04 und Debian 10 beherrschen dies ja inzwischen.
achja, und das ganze gilt natürlich auch nur für ältere Windows ab 2008R2/Windows 7. Neuere Versionen (ich denke ab Windows Server 2016 bzw Windows 10) haben die GCM Cipher auch standardmäßig aktiv. (Die können dann zudem auch die ECDHE Cipher)
Wie es um TLS 1.3 bei Windows bestellt ist weiß ich allerdings nicht, kann das hier ggf. jemand beantworten? Ubuntu 18.04 und Debian 10 beherrschen dies ja inzwischen.
Viele Grüße,
Martin
Martin
- Jolinar
- Community Moderator
- Posts: 3593
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Hmm...Das würde dann aber der Aussage des TE widersprechen:
Leider habe ich keine Windows-Server oder ältere Windows-Clients zum Testen zur Verfügung.
Vielleicht könnte Blackmoon hier nochmal auf seinen Systemen schauen, welche Windows-Versionen es genau betrifft...
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Hallo,
Hat Windows Server 2019 nicht aber auch Edge der die GCM Cipher bereits nutzt? Ggf. sind dort nur in IE 11 die modernen Cipher nicht aktiv, da Microsoft dessen Entwicklung ja schon vor geraumer Zeit eingestellt hatte.
Hat Windows Server 2019 nicht aber auch Edge der die GCM Cipher bereits nutzt? Ggf. sind dort nur in IE 11 die modernen Cipher nicht aktiv, da Microsoft dessen Entwicklung ja schon vor geraumer Zeit eingestellt hatte.
Viele Grüße,
Martin
Martin
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
erst einmal super, dass sich hier auch um so "alte" Nischenprodukte wie den IE 11 gekümmert wird.
Vielen vielen Dank, ich werde den betroffenen Windows Server mal testen, kommt für mich aber auch nicht infrage, da ein anderer Browser genutzt wird.
Erscheinungsdatum: 17. Oktober 2013; vor 6 Jahren
Vielen vielen Dank, ich werde den betroffenen Windows Server mal testen, kommt für mich aber auch nicht infrage, da ein anderer Browser genutzt wird.
Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner.
- Jolinar
- Community Moderator
- Posts: 3593
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Hier müßte der TE vielleicht mal hinterfragen, ob in seinem speziellen Setup die Nutzung von Edge anstatt IE11 infrage kommen könnte.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden
Du hast Recht. In meiner Aufzählung ist 2019 falsch.Hat Windows Server 2019 nicht aber auch Edge der die GCM Cipher bereits nutzt?
Microsoft hat noch nie nach Veröffentlichung einer Produktversion nachträglich an der Implementierung der SSL/TLS Protokoll und Cipher Suites hantiert. Das hat u.a. mit der Zertifizierung von Anwendungen für die Betriebssysteme bzw. auch die Abhängigkeiten zu anderne Microsoft Produkten zu tun. Zum anderen wird die Implementierung von weiteren Protokollen und Cipher Suites gerade bei Windows 7/8(.1) und Server 2008(R2)/2012(R2)/2016 erheblich sein. Für ein Produkt, dass bereits bzw. absehbarer Zeit abgekündigt ist, nicht wirtschaftlich. Mal davon abgesehen, dass der Microsoft Support als auch Hersteller von 3rd Party Anwendungen massiv mit Supportanfragen geflutet werden.Warum Microsoft diese standardmäßig inaktiv lässt obwohl sie unterstützt werden müsste man wohl direkt Microsoft fragen.
TLS 1.3 ist in .NET Framework 4.8 bereits enthalten. Für Windows 10 und Windows Server 2019 (SCHANNEL und WinHTTP) ist es mehr oder weniger im Anflug. In einem Insider Build von Windows 10, 2004 sieht man in der Registry schon entsprechende Einträge. Mit ein bisschen Glück ist im finalen Build, der Ende Mai erscheint, TLS 1.3 enthalten.Wie es um TLS 1.3 bei Windows bestellt ist weiß ich allerdings nicht, kann das hier ggf. jemand beantworten? Ubuntu 18.04 und Debian 10 beherrschen dies ja inzwischen.
Auf Windows Servern ist nach wie vor Internet Explorer 11 integriert und erhält auch von Microsoft entsprechend Updates. Der Tag wird sicherlich kommen, wo der Internet Explorer 11 durch Micrososft Edge Chromium ersetzt wird. Wir vermuten, dass Microsoft erst einmal den Rollout unter Windows 10 auswertet und bewertet, bevor man den nächsten Schritt macht.Ggf. sind dort nur in IE 11 die modernen Cipher nicht aktiv, da Microsoft dessen Entwicklung ja schon vor geraumer Zeit eingestellt hatte.
Unabhängig davon greift meines Wissens nach Chromium nicht auf SCHANNEL von Windows zurück sondern hat eine eigene Bibliothek. Einfaches Beispiel ist Google Chrome unter Windows 7, wo standardmäßig TLS 1.2 im SCHANNAL standardmäßig deaktiviert ist, aber Chrome problemlos TLS 1.2 nutzen konnte.
Auf jeden Fall vorsichtig sein. Windows Server bzw. deren Dienste und/oder 3rd party Anwendungen in Verbindung mit einer Domäne sind da empfindlich. Ich habe bei uns schon PFEs fluchen gehört, weil Microsoft Produkt A nicht mit neuen Cipher Suites des Mcirosoft Produkt B umgehen konnte.Vielen vielen Dank, ich werde den betroffenen Windows Server mal testen, kommt für mich aber auch nicht infrage, da ein anderer Browser genutzt wird.