Erro TLS 70 problemas

4

Eu tenho um aplicativo da Web (IIS 8) em um servidor (Windows Server 2012) conectado ao SQL Server Reporting Services 2012 em outro servidor (Windows Server 2008) que até recentemente funcionava bem. Cerca de uma semana atrás, ele parou de funcionar e, desde então, não consegui fazer o sistema funcionar novamente. A premissa é que meu código chama o SSRS para recuperar um relatório e, em seguida, o serve para o usuário (para que o usuário nunca tenha acesso ou exiba o relatório diretamente por motivos de segurança).

A mensagem de erro nos meus registros indica "A solicitação foi anulada: não foi possível criar um canal seguro SSL / TLS".
O servidor da Web está relatando "Um alerta fatal foi gerado e enviado para o endpoint remoto. Isso pode resultar no encerramento da conexão. O código de erro fatal definido pelo protocolo TLS é 70. O estado de erro do Windows SChannel é 105." que diz que está tentando negociar um protocolo não suportado.

Correções tentadas (e com falha):

  1. Código atualizado para forçar o TLS 1.2
  2. Remendado totalmente os dois servidores e o software que não recebe patches automaticamente
  3. Checked firewall nos dois servidores (está desativado)
  4. Examinou e atualizou os protocolos permitidos, etc. com o IIS Crypto para desativar as opções inseguras nos dois servidores.
  5. E por desespero (porque surgiu nos resultados da pesquisa e nas notas do Windows Update):
  6. Adicionada a entrada de registro LdapEnforceChannelBinding por MS em https://support.microsoft.com/pt-br/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry.
  7. Seguiu as instruções em https://community.spiceworks.com/topic/1794963-schannel-event-id-36888-microsoft-no-help-at-all isenções de verificação de segurança
  8. Removido o último conjunto de patches do Windows Update

Até agora, nada funcionou, e as únicas outras idéias que tenho (mas não tenho certeza se quero tentar, exceto em último caso) são

  • Remova o conjunto mais recente de patches do Windows
  • Desative ou exclua criptografias criptografadas (a MS recomendou isso há alguns anos por http://searchsecurity.techtarget.com/news/2240234856/Microsofts-Schannel-security-patch-affecting-TLS-connections
  • Desativar Prevenção de Execução de Dados (há anos funciona assim)

Antes de tomar qualquer uma dessas etapas, alguém tem alguma idéia sobre qualquer outra coisa que eu possa tentar fazer com que esses dois servidores falem novamente?

    
por Tom A 25.07.2017 / 23:24

1 resposta

0

Tom, tenho certeza que você passou por isso. Você garantiu que as configurações "Usar TLS 1.0" e "Usar TLS 1.1" estão desabilitadas nas Opções da Internet para as duas Máquinas (Painel de Controle - > Opções da Internet - > Guia Avançado - > Segurança)?

Advertência para isto é que a comunicação para qualquer site ou serviço que ainda usa o TLS 1.0 / 1.1 não será possível.

Se você passou por isso, compartilhe seu fluxo de trabalho.

    
por 07.11.2018 / 23:13