Forum Linux.général TLSv1 Record Layer: Alert (Level: Fatal, Description: Handshake Failure)

Posté par Catalin le 07 juillet 2022 à 01:17. Licence CC By‑SA.

Étiquettes :

-1

juil.

2022

Bonsoir a tous,

Je m-apelle Catalin, et je besoin d'aide. Ca c'ete tout ma Francais, car je puex expliquer mieux en Anglais. :)

Recently, I had to switch from http to https. I have modified the IP tables of Linux server to block http and allow https.
As we are running on geo-redundancy we have 2 similar servers with the same function.
After this change, I'm able to access by https only one server out of 2.

Taking a dump, I can observe that after Client Hello, I get, Alert: Handshake Failure.
For successfull one TLS V1.2 is used
For unsuccessful one TLS V1.0 is used
(how can I make sure that same TLS V1.2 is used for unsuccessful example)

I'm using the same browser IE for both servers.

Extrachecks:
On firewall, both destinations are part of the same zone.
I have compared ssl.conf file between the two servers and there is no difference.

Merci beaucoup,
Catalin

# Test de la couche TLS

Posté par Benoît Sibaud (site web personnel) le 07 juillet 2022 à 07:26. Évalué à 5.

Supposons que ce message ne soit pas du spam/SEO comme les autres messages en anglais.

Je commencerais par tester les configurations TLS des deux serveurs (souci de version de bibliothèque ? De configuration ? De type de clé ? Etc.) soit avec un site en ligne comme https://www.ssllabs.com/ soit avec un outil en local comme https://testssl.sh/
- [^] # Re: Test de la couche TLS
  
  Posté par GG (site web personnel) le 07 juillet 2022 à 15:03. Évalué à 2.
  
  Je suis certain qu'on trouve facilement des forum d'entraide en anglais.
  
  Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
  - [^] # Re: Test de la couche TLS
    
    Posté par _kaos_ le 09 juillet 2022 à 18:06. Évalué à 1.
    
    Il s'agit d'un problème de poignée de main, et tout le monde sait que le français est la langue de la diplomatie !
    
    Matricule 23415
# Outdated server

Posté par cg le 07 juillet 2022 à 15:12. Évalué à 3.

Hi,

I'm able to access by https only one server out of 2.
For successfull one TLS V1.2 is used
For unsuccessful one TLS V1.0 is used

It looks like one of the two servers is severely outdated. No support of TLSv1.2 means you have a very old TLS library. Also TLSv1 and TLSv1.1 have been disabled by default in most web browsers.

If you can't upgrade your server soon, I recommend you put a https reverse-proxy in front of the webserver.
# Problem solved

Posté par Catalin le 12 juillet 2022 à 17:56. Évalué à 2. Dernière modification le 12 juillet 2022 à 17:56.

Merci a tous pour votre reponse, on a trouve le point blocante, il s'agit du modifier le fichier ssl.conf et ajoute cette deux lignes:

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
SSLHonorCipherOrder on

apres ca, un redemarrer du httpd, c'etait fait.

J'avais pas une explication pourquoi un serveur ete accessible avec la configuration initiale, et le deuxieme pas.
Nous avons cherche avant ce fichier mais la configuration c'etait la meme, pour les deux serveurs.

Merci a tous,
Catalin