Bonsoir a tous,
Je m-apelle Catalin, et je besoin d'aide. Ca c'ete tout ma Francais, car je puex expliquer mieux en Anglais. :)
Recently, I had to switch from http to https. I have modified the IP tables of Linux server to block http and allow https.
As we are running on geo-redundancy we have 2 similar servers with the same function.
After this change, I'm able to access by https only one server out of 2.
Taking a dump, I can observe that after Client Hello, I get, Alert: Handshake Failure.
For successfull one TLS V1.2 is used
For unsuccessful one TLS V1.0 is used
(how can I make sure that same TLS V1.2 is used for unsuccessful example)
I'm using the same browser IE for both servers.
Extrachecks:
On firewall, both destinations are part of the same zone.
I have compared ssl.conf file between the two servers and there is no difference.
Merci beaucoup,
Catalin
# Test de la couche TLS
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
Supposons que ce message ne soit pas du spam/SEO comme les autres messages en anglais.
Je commencerais par tester les configurations TLS des deux serveurs (souci de version de bibliothèque ? De configuration ? De type de clé ? Etc.) soit avec un site en ligne comme https://www.ssllabs.com/ soit avec un outil en local comme https://testssl.sh/
[^] # Re: Test de la couche TLS
Posté par GG (site web personnel) . Évalué à 2.
Je suis certain qu'on trouve facilement des forum d'entraide en anglais.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Test de la couche TLS
Posté par _kaos_ . Évalué à 1.
Il s'agit d'un problème de poignée de main, et tout le monde sait que le français est la langue de la diplomatie !
Matricule 23415
# Outdated server
Posté par cg . Évalué à 3.
Hi,
It looks like one of the two servers is severely outdated. No support of TLSv1.2 means you have a very old TLS library. Also TLSv1 and TLSv1.1 have been disabled by default in most web browsers.
If you can't upgrade your server soon, I recommend you put a https reverse-proxy in front of the webserver.
# Problem solved
Posté par Catalin . Évalué à 2. Dernière modification le 12 juillet 2022 à 17:56.
Merci a tous pour votre reponse, on a trouve le point blocante, il s'agit du modifier le fichier ssl.conf et ajoute cette deux lignes:
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
SSLHonorCipherOrder on
apres ca, un redemarrer du httpd, c'etait fait.
J'avais pas une explication pourquoi un serveur ete accessible avec la configuration initiale, et le deuxieme pas.
Nous avons cherche avant ce fichier mais la configuration c'etait la meme, pour les deux serveurs.
Merci a tous,
Catalin
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.