Forum Linux.général TLSv1 Record Layer: Alert (Level: Fatal, Description: Handshake Failure)

Posté par  . Licence CC By‑SA.
Étiquettes :
-1
7
juil.
2022

Bonsoir a tous,

Je m-apelle Catalin, et je besoin d'aide. Ca c'ete tout ma Francais, car je puex expliquer mieux en Anglais. :)

Recently, I had to switch from http to https. I have modified the IP tables of Linux server to block http and allow https.
As we are running on geo-redundancy we have 2 similar servers with the same function.
After this change, I'm able to access by https only one server out of 2.

Taking a dump, I can observe that after Client Hello, I get, Alert: Handshake Failure.
For successfull one TLS V1.2 is used
For unsuccessful one TLS V1.0 is used
(how can I make sure that same TLS V1.2 is used for unsuccessful example)

I'm using the same browser IE for both servers.

Extrachecks:
On firewall, both destinations are part of the same zone.
I have compared ssl.conf file between the two servers and there is no difference.

Merci beaucoup,
Catalin

  • # Test de la couche TLS

    Posté par  (site Web personnel) . Évalué à 5 (+2/-0).

    Supposons que ce message ne soit pas du spam/SEO comme les autres messages en anglais.

    Je commencerais par tester les configurations TLS des deux serveurs (souci de version de bibliothèque ? De configuration ? De type de clé ? Etc.) soit avec un site en ligne comme https://www.ssllabs.com/ soit avec un outil en local comme https://testssl.sh/

  • # Outdated server

    Posté par  . Évalué à 3 (+2/-0).

    Hi,

    I'm able to access by https only one server out of 2.
    For successfull one TLS V1.2 is used
    For unsuccessful one TLS V1.0 is used

    It looks like one of the two servers is severely outdated. No support of TLSv1.2 means you have a very old TLS library. Also TLSv1 and TLSv1.1 have been disabled by default in most web browsers.

    If you can't upgrade your server soon, I recommend you put a https reverse-proxy in front of the webserver.

  • # Problem solved

    Posté par  . Évalué à 2 (+1/-0). Dernière modification le 12/07/22 à 17:56.

    Merci a tous pour votre reponse, on a trouve le point blocante, il s'agit du modifier le fichier ssl.conf et ajoute cette deux lignes:

    SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
    SSLHonorCipherOrder on

    apres ca, un redemarrer du httpd, c'etait fait.

    J'avais pas une explication pourquoi un serveur ete accessible avec la configuration initiale, et le deuxieme pas.
    Nous avons cherche avant ce fichier mais la configuration c'etait la meme, pour les deux serveurs.

    Merci a tous,
    Catalin

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.