TLS 1.2 IE 11 kann auf Webseiten unter KH 20.1 nicht mehr verbinden [GELÖST]

[Blackmoon]

Hallo zusammen,
die Chiper Suites sind unseren Tests nach zu eng gefasst. Ein Intenet Explorer 11 auf Windows Server 2012R2/2016/2019 kann auf Webseiten unter KH 20.1 nicht mehr verbinden. Wir haben die Anpassungen aus der Not heraus manuell vorgenommen. Aber evtl. für das nächste Update die Cipher Suites doch noch aufnehmen.

Grüße

[Mod-Edit]
Beitrag vom ursprünglichen Thread getrennt und als neuer Thread nach Bedienung nund Nutzung verschoben.

[Jolinar]

die Chiper Suites sind unseren Tests nach zu eng gefasst

Dafür bietet ja das Panel die Möglichkeit, die Cipher individuell festzulegen.

Aber evtl. für das nächste Update die Cipher Suites doch noch aufnehmen.

IMHO sind die standardmäßig gesetzten Cipher für die meisten Einsatzszenarien völlig ausreichend.
Eine grundsätzliche Aufweichung der Sicherheit nur wegen ein paar verirrter IE-Nutzer halte ich persönlich nicht für zielführend. Es gibt genug Browseralternativen, die mit den empfohlenen Cipher klarkommen.

[OlliTheDarkness]

Eine grundsätzliche Aufweichung der Sicherheit nur wegen ein paar verirrter IE-Nutzer halte ich persönlich nicht für zielführend. Es gibt genug Browseralternativen, die mit den empfohlenen Cipher klarkommen.

IE Nutzern empfehle ich grundsätzlich zu einem guten Psychiater.

[Blackmoon]

Der Internet Explorer 11 habe ich der einfachhalber genannt. Wir haben verschiedene Anwendungen auf Basis von .NET Framework im Einsatz. Diese greifen wie der Internet Explorer auf die Module von Windows (Server) zurück. Windows bietet SCHANNEL (SSP) und WinHTTP an. Alle Anwendungen, auf dessen Basis konnten nicht mehr die Daten via HTTPS auf dem KH-Server hochladen.

IE Nutzern empfehle ich grundsätzlich zu einem guten Psychiater.

Von Nutzen kann in meinem Fall keine Rede sein. Unabhängig davon gibt es nach wie vor Szenarien, wo ein Einsatz von weiteren Browsern auf Windows Servers durch den Tätigkeitsbereich des Unternehmens nicht erlaubt sind. Wer mit Verschlusssachen oder an technischen Richtlinien vom BSI halten muss, weiß was ich meine.

[Jolinar]

Unabhängig davon gibt es nach wie vor Szenarien, wo ein Einsatz von weiteren Browsern auf Windows Servers durch den Tätigkeitsbereich des Unternehmens nicht erlaubt sind. Wer mit Verschlusssachen oder an technischen Richtlinien vom BSI halten muss, weiß was ich meine.

Genau auf solche Spezialfälle zielte mein Hinweis auf die individuelle Anpaßbarkeit der Cipher ab.

BTW:
Für alle, die hier mitlesen und sich mit der Auswahl der richtigen Cipher nicht so auskennen...Hier kann man sich die benötigten Cipher raussuchen, um sie dann im Adminpanel einzutragen.

[Martin]

Hallo,

da ich das Thema auch schon mit einem Exchange Kunden hatte, die Aktivierung der CBC Cipher ist bewusst standardmäßig nicht erfolgt, da diese inzwischen als Weak anzusehen sind. Aktiv sind folglich nur Cipher mit GCM.

Zumindest zwei der standardmäßig bei KeyHelp nun aktiven GCM Cipher werden grundsätzlich auch von jedem Windows ab Windows 2008R2/Windows 7 unterstützt. Mir unverständlicherweise aktiviert Microsoft die GCM Cipher aber nicht standardmäßig, sodass dies bei Windows ggf. noch manuell aktiviert werden müsste. Warum Microsoft diese standardmäßig inaktiv lässt obwohl sie unterstützt werden müsste man wohl direkt Microsoft fragen.

Es handelt sich um die folgenden beiden Cipher:

Code: Select all

DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384

Auf folgenden Weg können diese nachträglich bei den Windowssystemen aktiviert werden (bei neueren Systemen sind diese auch standardmäßig aktiv):

1.Regedit öffnen und zu
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
navigieren

2.Den Wert für die Zeichenfolge „Functions“ um die Zeichenfolge
"TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,“
erweitern.
Den Wert am Anfang einfügen (Priorität!) und die Kommata beachten.

3.Server ggf. neu starten

Ansonsten steht, wie Jolinar bereits schrieb, auch die Möglichkeit der individuellen Anpassung der Cipher in KeyHelp zur Verfügung.

[Jolinar]

Danke Martin, ich habe deinen Beitrag mal als Lösung für diesen Thread markiert und deinen Workaround hier in die Bastelecke eingetragen, damit man bei erneuten Nachfragen direkt drauf verlinken kann.

[Martin]

Hallo,

kein Problem, war auch froh das mir hier der Exchange Admin den Tipp geben konnte. (Windowsserver hab ich so aktuell keine vor mir)
Eine Anmerkung noch falls das unklar sein sollte. Bei 3) der Neustart meint das betreffende Windowssystem, nicht den KeyHelp Server.

Die Auflistung von Windows unterstützter Cipher findet sich ansonsten hier:
https://docs.microsoft.com/en-us/window ... n-schannel

[Jolinar]

Bei 3) der Neustart meint das betreffende Windowssystem, nicht den KeyHelp Server.

Ich hab es der Einfachheit halber in den Quote in der Bastelecke reineditiert.

[Martin]

Hallo,

achja, und das ganze gilt natürlich auch nur für ältere Windows ab 2008R2/Windows 7. Neuere Versionen (ich denke ab Windows Server 2016 bzw Windows 10) haben die GCM Cipher auch standardmäßig aktiv. (Die können dann zudem auch die ECDHE Cipher)

Wie es um TLS 1.3 bei Windows bestellt ist weiß ich allerdings nicht, kann das hier ggf. jemand beantworten? Ubuntu 18.04 und Debian 10 beherrschen dies ja inzwischen.

[Jolinar]

das ganze gilt natürlich auch nur für ältere Windows ab 2008R2/Windows 7. Neuere Versionen (ich denke ab Windows Server 2016 bzw Windows 10) haben die GCM Cipher auch standardmäßig aktiv. (Die können dann zudem auch die ECDHE Cipher)

Hmm...Das würde dann aber der Aussage des TE widersprechen:

Ein Intenet Explorer 11 auf Windows Server 2012R2/2016/2019 kann auf Webseiten unter KH 20.1 nicht mehr verbinden.

Leider habe ich keine Windows-Server oder ältere Windows-Clients zum Testen zur Verfügung.
Vielleicht könnte Blackmoon hier nochmal auf seinen Systemen schauen, welche Windows-Versionen es genau betrifft...

[Martin]

Hallo,

Hat Windows Server 2019 nicht aber auch Edge der die GCM Cipher bereits nutzt? Ggf. sind dort nur in IE 11 die modernen Cipher nicht aktiv, da Microsoft dessen Entwicklung ja schon vor geraumer Zeit eingestellt hatte.

[stfn116]

erst einmal super, dass sich hier auch um so "alte" Nischenprodukte wie den IE 11 gekümmert wird.

Erscheinungsdatum: 17. Oktober 2013; vor 6 Jahren

Vielen vielen Dank, ich werde den betroffenen Windows Server mal testen, kommt für mich aber auch nicht infrage, da ein anderer Browser genutzt wird.

[Jolinar]

Ggf. sind dort nur in IE 11 die modernen Cipher nicht aktiv, da Microsoft dessen Entwicklung ja schon vor geraumer Zeit eingestellt hatte.

Hier müßte der TE vielleicht mal hinterfragen, ob in seinem speziellen Setup die Nutzung von Edge anstatt IE11 infrage kommen könnte.

[Blackmoon]

Hat Windows Server 2019 nicht aber auch Edge der die GCM Cipher bereits nutzt?

Du hast Recht. In meiner Aufzählung ist 2019 falsch.

Warum Microsoft diese standardmäßig inaktiv lässt obwohl sie unterstützt werden müsste man wohl direkt Microsoft fragen.

Microsoft hat noch nie nach Veröffentlichung einer Produktversion nachträglich an der Implementierung der SSL/TLS Protokoll und Cipher Suites hantiert. Das hat u.a. mit der Zertifizierung von Anwendungen für die Betriebssysteme bzw. auch die Abhängigkeiten zu anderne Microsoft Produkten zu tun. Zum anderen wird die Implementierung von weiteren Protokollen und Cipher Suites gerade bei Windows 7/8(.1) und Server 2008(R2)/2012(R2)/2016 erheblich sein. Für ein Produkt, dass bereits bzw. absehbarer Zeit abgekündigt ist, nicht wirtschaftlich. Mal davon abgesehen, dass der Microsoft Support als auch Hersteller von 3rd Party Anwendungen massiv mit Supportanfragen geflutet werden.

Wie es um TLS 1.3 bei Windows bestellt ist weiß ich allerdings nicht, kann das hier ggf. jemand beantworten? Ubuntu 18.04 und Debian 10 beherrschen dies ja inzwischen.

TLS 1.3 ist in .NET Framework 4.8 bereits enthalten. Für Windows 10 und Windows Server 2019 (SCHANNEL und WinHTTP) ist es mehr oder weniger im Anflug. In einem Insider Build von Windows 10, 2004 sieht man in der Registry schon entsprechende Einträge. Mit ein bisschen Glück ist im finalen Build, der Ende Mai erscheint, TLS 1.3 enthalten.

Ggf. sind dort nur in IE 11 die modernen Cipher nicht aktiv, da Microsoft dessen Entwicklung ja schon vor geraumer Zeit eingestellt hatte.

Auf Windows Servern ist nach wie vor Internet Explorer 11 integriert und erhält auch von Microsoft entsprechend Updates. Der Tag wird sicherlich kommen, wo der Internet Explorer 11 durch Micrososft Edge Chromium ersetzt wird. Wir vermuten, dass Microsoft erst einmal den Rollout unter Windows 10 auswertet und bewertet, bevor man den nächsten Schritt macht.

Unabhängig davon greift meines Wissens nach Chromium nicht auf SCHANNEL von Windows zurück sondern hat eine eigene Bibliothek. Einfaches Beispiel ist Google Chrome unter Windows 7, wo standardmäßig TLS 1.2 im SCHANNAL standardmäßig deaktiviert ist, aber Chrome problemlos TLS 1.2 nutzen konnte.

Vielen vielen Dank, ich werde den betroffenen Windows Server mal testen, kommt für mich aber auch nicht infrage, da ein anderer Browser genutzt wird.

Auf jeden Fall vorsichtig sein. Windows Server bzw. deren Dienste und/oder 3rd party Anwendungen in Verbindung mit einer Domäne sind da empfindlich. Ich habe bei uns schon PFEs fluchen gehört, weil Microsoft Produkt A nicht mit neuen Cipher Suites des Mcirosoft Produkt B umgehen konnte.