Domino Oferece SSL3.0 em vez de TLS para conexão de saída para WebService

1

Tenho dificuldade em entender o comportamento do Domino para oferecer SSL ou TLS para conexões de saída para o WebService.

Temos um agente que acessa um WebService. O WebService só aceita o TLS 1.0

Ocasionalmente, a conexão falha e eu liguei DEBUG_SSL_ALL = 3 para ver o que está acontecendo

Eu descobri que a conexão falha devido ao servidor oferecer SSLV3.0 em vez de TLS1.0, veja o exemplo no registro em 05:45:58

Como o servidor pode fazer isso de repente? Eu li em outro post que isso às vezes pode acontecer devido a "retomada" que deve ser algum comportamento para lembrar e se conectar mais rápido. Isso parece bom, mas neste caso não parece ser o motivo. Eu tenho esse agente para rodar por conta própria por algumas horas e de repente muda o protocolo de qualquer maneira.

Nosso servidor precisa manter a capacidade de usar SSL por outros motivos. Então, eu não posso fazer o DISABLE_SSLV3 = 1 no momento e o servidor de recebimento não pode usar SSL.

Aqui está o meu log espero por alguma ajuda O início da conexão é idêntico como eu vejo, há mais declarações de depuração inteligentes que podem me dar mais?

Domino 9.0.1 FP4

[10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSLInitContext> 0 Available cipherspec: 0x0035
[10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSLInitContext> 1 Available cipherspec: 0x002F
[10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSLInitContext> 2 Available cipherspec: 0x000A
[10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSLInitContext> 3 Available cipherspec: 0x0005
[10A4:000C-082C] 01/13/2016 05:26:59.36 PM int_MapSSLError> Mapping SSL error 0 to 0         [SSLNoErr]
[10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSL_Handshake> Enter
[10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSL_Handshake> Current Cipher 0x0000 (Unknown Cipher)
[10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSL_Handshake> outgoing ->protocolVersion: 0301
[10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSLAdvanceHandshake Enter> Processed : 0 State: 4 (HandshakeClientIdle)
[10A4:000C-082C] 01/13/2016 05:26:59.38 PM SSLAdvanceHandshake Enter> Processed : SSL_hello_request
[10A4:000C-082C] 01/13/2016 05:26:59.38 PM SSLAdvanceHandshake calling SSLPrepareAndQueueMessage> SSLEncodeClientHello
[10A4:000C-082C] 01/13/2016 05:26:59.38 PM SSLEncodeClientHello> We offered SSL/TLS version TLS1.0 (0x0301)
...
[1204:0006-1390] 01/13/2016 05:28:59.91 PM SSLEncodeClientHello> We offered SSL/TLS version TLS1.0 (0x0301)
...
[10A4:000F-08BC] 01/13/2016 05:29:54.78 PM SSLEncodeClientHello> We offered SSL/TLS version TLS1.0 (0x0301)
...
[0F38:000B-0BCC] 01/13/2016 05:36:03.58 PM SSLEncodeClientHello> We offered SSL/TLS version TLS1.0 (0x0301)
...
[1204:0009-0A94] 01/13/2016 05:45:58.19 PM SSLInitContext> 0 Available cipherspec: 0x0035
[1204:0009-0A94] 01/13/2016 05:45:58.19 PM SSLInitContext> 1 Available cipherspec: 0x002F
[1204:0009-0A94] 01/13/2016 05:45:58.19 PM SSLInitContext> 2 Available cipherspec: 0x000A
[1204:0009-0A94] 01/13/2016 05:45:58.19 PM SSLInitContext> 3 Available cipherspec: 0x0005
[1204:0009-0A94] 01/13/2016 05:45:58.21 PM int_MapSSLError> Mapping SSL error 0 to 0         [SSLNoErr]
[1204:0009-0A94] 01/13/2016 05:45:58.21 PM SSL_Handshake> Enter
[1204:0009-0A94] 01/13/2016 05:45:58.21 PM SSL_Handshake> Current Cipher 0x0000 (Unknown Cipher)
[1204:0009-0A94] 01/13/2016 05:45:58.21 PM SSL_Handshake> outgoing ->protocolVersion: 0301
[1204:0009-0A94] 01/13/2016 05:45:58.21 PM SSLAdvanceHandshake Enter> Processed : 0 State: 4 (HandshakeClientIdle)
[1204:0009-0A94] 01/13/2016 05:45:58.21 PM SSLAdvanceHandshake Enter> Processed : SSL_hello_request
[1204:0009-0A94] 01/13/2016 05:45:58.21 PM SSLAdvanceHandshake calling SSLPrepareAndQueueMessage> SSLEncodeClientHello
[1204:0009-0A94] 01/13/2016 05:45:58.21 PM SSLEncodeClientHello> We offered SSL/TLS version SSLV3.0 (0x0300)
...
[10A4:0012-08A0] 01/13/2016 05:50:59.42 PM SSLEncodeClientHello> We offered SSL/TLS version TLS1.0 (0x0301)
...
[10A4:0015-0DF4] 01/13/2016 05:52:23.57 PM SSLEncodeClientHello> We offered SSL/TLS version TLS1.0 (0x0301)
...
[10A4:0018-090C] 01/13/2016 05:53:33.55 PM SSLEncodeClientHello> We offered SSL/TLS version TLS1.0 (0x0301)

Estou ciente das cifras para 1.0.
As cifras combinam com o WebService
Enquanto eu escrevo é Domino que de repente (aleatório) gosta de oferecer, a parte de log
- Oferecemos SSL / TLS versão SSLV3.0 (0x0300) (erro)
em vez de
- Oferecemos a versão SSL / TLS TLS1.0 (0x0301) (sucesso)

As cifras no meu log são para o TLS 1.0 e porque eu configurei o SSL_DISABLE_TLS_12 = 1

    
por Stefan K 14.01.2016 / 12:02

1 resposta

1

Parece que as cifras que você configurou para o DominoServer não correspondem às cifras oferecidas pelo serviço da web. Você precisa descobrir quais os códigos que seu serviço suporta e, em seguida, ativá-los em seu servidor domino usando a configuração SSLCipherSpec-notes.ini.

Em este site da IBM você encontra uma lista de todas as cifras suportadas para sua versão . Para 9.0.1FP4, ele diz:

Cifras disponíveis para TLS 1.0 / SSLv3

  1. DHE_RSA_WITH_AES_256_CBC_SHA (39)
  2. RSA_WITH_AES_256_CBC_SHA (35)
  3. RSA_WITH_AES_128_CBC_SHA (2F)
  4. DHE_RSA_WITH_AES_128_CBC_SHA (33)
  5. RSA_WITH_3DES_EDE_CBC_SHA (0A)
  6. RSA_WITH_RC4_128_SHA (05)

E as cifras ativadas por padrão são (como pode ser visto nos seus registros):

  1. RSA_WITH_AES_256_CBC_SHA (35)
  2. RSA_WITH_AES_128_CBC_SHA (2F)
  3. RSA_WITH_3DES_EDE_CBC_SHA (0A)

Combine-os apenas com as cifras do seu serviço web e ative o que for necessário ...

    
por 14.01.2016 / 13:57