Beiträge von PaBu

Hallo,

ich habe nun die Rückmeldung bekommen, dass 443 auf auf den Server geroutet wird.
Den Test habe ich nochmal durchgeführt:

Server configuration
Host name:
 "Unserer IP"
Server type:
 David-WebBox/12.00a (1078) WIN32
IP address:
 "Unsere IP"
Port number:
 443
Protocols enabled:
TLS1.2
TLS1.1
Protocols not enabled:
TLS1.0
SSLv3
SSLv2
Secure Renegotiation:
 Enabled
Downgrade attack prevention:
 Enabled
Next Protocol Negotiation:
 Not Enabled
Session resumption (caching):
 Enabled
Session resumption (tickets):
 Enabled
Strict Transport Security (HSTS):
 Not Enabled
SSL/TLS compression:
 Not Enabled
Heartbeat (extension):
 Enabled
RC4:
 Not Enabled
OCSP stapling:
 Not Enabled
Vulnerabilities checked:
Heartbleed (detected)
Poodle (TLS)
Poodle (SSLv3)
FREAK
BEAST
CRIME
Cipher suites enabled:
TLS_RSA_WITH_AES_128_CBC_SHA (0x002F)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)
TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003C)
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003D)
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0041)
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0045)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x0067)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x006B)
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0084)
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0088)
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009C)
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009D)
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009E)
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009F)

Obwohl er SSL nun als nicht aktiviert anzeigt, meldet er Heartbleed? Schon komisch..
In der davidtls.ini habe ich folgendes eingetragen:

[Settings]
CipherSuite=HIGH !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS
SSLv3=no
TLS10=no
TLS11=yes
TLS12=yes
ServerCipherOrder=no

Leider werden mir immer noch die gleichen Fehlermeldungen im LOG angezeigt.

Was mir aufgefallen ist:

Ich habe versucht über die interne IP via SSL auf den Server zu zu greifen - dort kriege ich keine Verbindung aufgebaut. Ich bin im gleichen Netz, also an der Firewall sollte es nicht liegen. Windows Firewall ist deaktiviert.
Der Zugriff sollte doch ohne Probleme gehen, oder?

LG,

Patrick

Hallo,

der Zugriff auf die Webseite geht ohne Probleme. Auch über SSL.
Ich habe nun mal ein Ticket bei unserem Firewall-Helpdesk erstellt.
Da der Zugriff auf die Webseite funktioniert, ging ich davon aus, alles wäre von deren Seite richtig eingestellt.

Selbst mit der aktivierten DavidTLS.ini zeigt er mir Heartbleed an, was ja nicht sein dürfte.

LG,

Patrick

Hallo stylistics,

danke für deine Antwort.

Der Haken bei Zertifikatskette ist gesetzt, ja.
Der Test zeigt von den Zertifikaten alles grün an, er meckert nur bei:

"Warnings
Root installed on the server.
For best practices, remove the self-signed root from the server.
This server is vulnerable to:
HeartbleedThis server is vulnerable to Heartbleed"

Die Datei davidtls.ini existierte noch nicht, ich habe Sie nun erstellt und den Webbox-Dienst neugestartet.
Leider kommen immer noch Fehler:
SSLSSL-Read failed :Got 0
...
...SSLWrite failed
...
...Write failed

Any ideas?

Nachtrag:

Nach dem erstellen der davidtls.ini und dem Neustart des Dienstes konnte ich gar keine Verbindung mehr herstellen.
Dabei habe ich ein Smartphone mit der aktuellsten Android-Version.

LG,

Patrick

Hallo zusammen,
ich bin neu hier, also nicht schlagen.
Im Einsatz: David mit SiteCare und aktuellstem Rollout

Ich habe vor kurzem unser öffentliches Zertifikat mit Intermediate und Root-Zertifikat in eine PEM geschrieben und diese dem David in den entsprechenden Ordner gelegt.
Danach die Webbox gestartet und siehe da - Abruf via TLS funktioniert ohne Probleme im Browser. Auch externe Seiten zum checken von SSL zeigen, dass soweit alles gut ist.
Da man sonst immer auf "SSL (Alle Zertifikate akzeptieren)" gehen musste beim Smartphone um eine Verbindung herzustellen, war ich nun ganz froh, dass es diesmal ohne alle Zertifikate zu akzeptieren funktionierte. Da ich das ganze dann heute aber mal dokumentieren wollte, fiel mir in den Logs auf, dass er andauernd meldet, dass SSL nicht gehen würde und er einen Fallback auf Basic-Authentication macht. Am Anfang des Logs zeigt er das Zertifikat grün an und sagt er hätte es geladen..

Ich habe hier nun schon einige Themen durch - leider hat mir bisher nichts was gebracht.
Die Webbox.ini ist noch jungfräulich und hat die Standardwerte. Zweiter TCP-Port steht auf 81.
Die Option SSL erzwingen habe ich auch bereits mit Häkchen und ohne getestet - alles ohne Erfolg.

Das einzige was ich mir noch vorstellen könnte, ist die Firewall. Diese wird bei uns von extern gemanaged - hier wäre also eine Meinung von Euch von Vorteil.
Allerdings sollte dann doch auch gar nicht erst der Aufruf von der Webbox via HTTPS funktionieren - oder wird das irgendwie anders realisiert?
Weil man ja erst auf eine unverschlüsselte Port 80 Seite kommt und dann dieses Häkchen bei "TLS nutzen" setzen muss.
Wo wir gleich auf meine nächste Frage kommen: Ist es möglich diese Seite nur via HTTPS erreichbar zu machen? Also das Häkchen quasi immer drin?

Liebe Grüße und vielen Dank,

Patrick