Ошибки SChannel после включения SSL на Windows Server 2012 R2
У меня есть экземпляр Windows Server 2012 R2 на Azure. Для нового веб-сайта я заказал сертификат в GlobalSign. После получения сертификатов от них я выполнил запрос сертификата в IIS и установил корневой сертификат.
Я перенес сайт на новый экземпляр, поэтому я экспортировал сертификат с закрытым ключом и импортировал его на новый экземпляр.
Это была моя установка, и она работала довольно хорошо.
Теперь я получаю много ошибок SChannel. Они следующие:
`A fatal alert was generated and sent to the remote endpoint. Это может привести к разрыву соединения. Код фатальной ошибки, определенный протоколом TLS, равен 40. Состояние ошибки Windows SChannel - 1205.
`Сгенерировано и отправлено на удаленную конечную точку фатальное предупреждение. Это может привести к разрыву соединения. Код фатальной ошибки, определенный протоколом TLS, равен 20. Состояние ошибки Windows SChannel - 960.``
Запрос на соединение SSL 3.0 был получен от удаленного клиентского приложения, но ни один из наборов шифров, поддерживаемых клиентским приложением, не поддерживается сервером. Запрос SSL-соединения не прошел.
Это первый раз, когда я использую SSL, и, честно говоря, я понятия не имею, что я делаю. Для меня все выглядит нормально, когда я запрашиваю веб-сайт (http://laola.biz).
Я уже использовал проверку SSL от GlobalSign, которая дала мне оценку C. https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl
Вот список сертификатов от mmc (мой сайт - laola.biz):
Есть идеи, что я мог сделать не так?
Поскольку разные люди (добросовестные и не очень) пытаются получить доступ к вашему сайту с различных устройств, использующих различные браузеры на различных операционных системах, в зависимости от протокола, который они выбирают для защиты этой связи, вы будете видеть сообщения, передаваемые "канальным" источником.
Следующий блог должен помочь вам понять некоторые из сообщений, которые вы видите в своих журналах. http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx
Оценка, которую вы там получили, немного настораживает. У вас не был бы включен SSL3, если бы вы опубликовали сайт на Azure Websites напрямую.
Вы можете отключить SSL3, используя руководство здесь http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx
Если вы можете переместить сайт с ВМ на Azure Website, это будет лучше. Это избавит вас от необходимости исправлять и защищать ВМ, используемые для размещения веб-сайта. Вместо этого вы полагаетесь на Azure PaaS для обеспечения платформы для размещения веб-сайта. Вы заботитесь о коде веб-сайта, а Azure обеспечивает безопасность и поддержку IIS/платформы.
Грядущие изменения в платформе с точки зрения TLS отражены на сайте https://testsslclient.trafficmanager.net/. Вы можете проверить это, чтобы узнать, какую оценку может получить ваш веб-сайт, если вы перенесете его на веб-сайт Azure напрямую.