Errores SChannel después de habilitar SSL en un Windows Server 2012 R2
Tengo una instancia de Windows Server 2012 R2 en Azure. Para un nuevo sitio web he pedido un certificado de GlobalSign. Después de obtener los certificados de ellos he completado la solicitud de certificado en IIS e instalado el certificado raíz.
He movido el sitio web a una nueva instancia, por lo que he exportado el certificado con su clave privada y lo importó en la nueva instancia.
Esa fue mi instalación y parecía funcionar bastante bien.
Ahora estoy recibiendo un montón de errores SChannel. Ellos son:
A fatal alert was generated and sent to the remote endpoint. Esto puede resultar en la terminación de la conexión. El código de error fatal definido por el protocolo TLS es 40. El estado de error de Windows SChannel es 1205.
Se ha generado una alerta fatal y se ha enviado al extremo remoto. Esto puede provocar la finalización de la conexión. El código de error fatal definido por el protocolo TLS es 20. El estado de error de Windows SChannel es 960.`
Se ha recibido una solicitud de conexión SSL 3.0 de una aplicación cliente remota, pero el servidor no admite ninguno de los conjuntos de cifrado admitidos por la aplicación cliente. La solicitud de conexión SSL ha fallado.`
Es la primera vez que utilizo SSL y, para ser sincero, no tengo ni idea de lo que estoy haciendo. A mí me parece bien cuando solicito el sitio web (http://laola.biz).
Ya he usado el SSL Check de GlobalSign que me da Grado C. https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl
Aquí una lista de los certificados de mmc (mi sitio web es laola.biz):
¿Alguna idea de lo que podría haber hecho mal aquí?
A medida que distintas personas (bienintencionadas o no) intentan acceder a su sitio desde distintos dispositivos que ejecutan distintos navegadores en distintos sistemas operativos, en función del protocolo que elijan para asegurar esa comunicación, usted acabará viendo mensajes de la fuente schannel.
El siguiente blog debería ayudarle a entender algunos de los mensajes que ve en sus registros. http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx
La nota que tienes ahí es un poco preocupante. No tendrías SSL3 habilitado si publicaste el sitio a Azure Websites directamente.
Puedes deshabilitar SSL3 usando la guía aquí http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx
Si usted puede mover el sitio de una máquina virtual a un sitio web Azure en sí que sería mejor. Le ahorrará tener que parchear y asegurar la(s) VM(s) utilizada(s) para alojar el sitio web. En su lugar, confía en Azure PaaS para proporcionar la plataforma para alojar el sitio web. Usted se encarga del código del sitio web mientras Azure asegura y mantiene el IIS/plataforma.
Los próximos cambios en la plataforma desde la perspectiva de TLS se reflejan en https://testsslclient.trafficmanager.net/. Puedes probar esto para ver la calificación que puede obtener tu sitio web si migraras el sitio a un sitio web Azure directamente.