Kesalahan SChannel setelah mengaktifkan SSL pada Windows Server 2012 R2
Saya memiliki instance Windows Server 2012 R2 di Azure. Untuk situs web baru saya telah memesan sertifikat oleh GlobalSign. Setelah mendapatkan sertifikat dari mereka, saya telah menyelesaikan permintaan sertifikat di IIS dan menginstal root certifcate.
Saya memindahkan situs web ke instance baru, jadi saya telah mengekspor sertifikat dengan kunci pribadinya dan mengimpornya pada instance baru.
Itu adalah instalasi saya dan tampaknya bekerja dengan cukup baik.
Sekarang saya mendapatkan banyak kesalahan SChannel. Mereka adalah:
Sebuah peringatan fatal telah dibuat dan dikirim ke titik akhir jarak jauh. Hal ini dapat mengakibatkan penghentian koneksi. Protokol TLS mendefinisikan kode kesalahan fatal adalah 40. Status kesalahan Windows SChannel adalah 1205.
Sebuah peringatan fatal dibuat dan dikirim ke titik akhir jarak jauh. Hal ini dapat mengakibatkan penghentian koneksi. Protokol TLS mendefinisikan kode kesalahan fatal adalah 20. Status kesalahan Windows SChannel adalah 960.
Permintaan koneksi SSL 3.0 diterima dari aplikasi klien jarak jauh, tetapi tidak ada cipher suite yang didukung oleh aplikasi klien yang didukung oleh server. Permintaan koneksi SSL telah gagal.
Ini pertama kalinya saya menggunakan SSL dan sejujurnya, saya tidak tahu apa yang saya lakukan. Bagi saya itu terlihat baik-baik saja ketika saya meminta situs web (http://laola.biz).
Saya telah menggunakan SSL Check oleh GlobalSign yang memberi saya Grade C. https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl
Berikut daftar sertifikat dari mmc (situs web saya adalah laola.biz):
Adakah ide apa yang mungkin saya lakukan salah di sini?
Karena orang yang berbeda (baik yang bermaksud baik maupun tidak) mencoba mengakses situs Anda dari berbagai perangkat yang menjalankan berbagai browser pada berbagai sistem operasi, tergantung pada protokol yang mereka pilih untuk mengamankan komunikasi itu, Anda akan berakhir dengan melihat pesan oleh sumber schannel.
Blog berikut ini akan membantu anda memahami beberapa pesan yang anda lihat di log anda. http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx
Nilai yang anda dapatkan di sana sedikit memprihatinkan. Anda tidak akan mengaktifkan SSL3 jika Anda menerbitkan situs ke Situs Web Azure secara langsung.
Anda dapat menonaktifkan SSL3 menggunakan panduan di sini http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx
Jika Anda dapat memindahkan situs dari VM ke Situs Web Azure itu sendiri, itu akan lebih baik. Ini akan menyelamatkan Anda dari keharusan menambal dan mengamankan VM yang digunakan untuk menghosting situs web. Anda malah mengandalkan Azure PaaS untuk menyediakan platform untuk menghosting situs web. Anda mengurus kode situs web sementara Azure mengamankan dan memelihara IIS/platform.
Perubahan yang akan datang pada platform dari perspektif TLS tercermin dalam https://testsslclient.trafficmanager.net/. Anda dapat mengujinya untuk melihat penilaian yang dapat diperoleh situs web Anda jika Anda memigrasikan situs ke situs web Azure secara langsung.