Erro "Could not create SSL/TLS secure channel" ao conectar à API do Discourse no Windows Server

Suporte
1

Olá a todos,

Atualizamos recentemente para a versão 2.4.0.beta4 (1576b07a10) e, desde então, um de nossos aplicativos externos não consegue mais se autenticar na API do Discourse.

O aplicativo exibe um erro simples:

The request was aborted: Could not create SSL/TLS secure channel.

O aplicativo está usando TLS 1.2; isso não é mais suportado?

Alguma ideia sobre mudanças recentes que possam me poupar várias horas de depuração no outro aplicativo?

2

As versões 1.2 e 1.3 do TLS estão habilitadas, como você pode testar por conta própria em SSL Server Test (Powered by Qualys SSL Labs)

3

Obrigado, @Falco - confirmado, ainda está lá:

08
081026×704 68.6 KB

Certo, vou começar a depurar então. Algo mais deve ter mudado no nosso Discourse, fazendo com que nossos aplicativos externos falhem, já que o problema ocorre tanto no nosso ambiente de desenvolvimento quanto no de produção.

Vou ver o que consigo descobrir :+1:t2:

4

Acontece que tivemos um problema muito semelhante ao descrito aqui:

Nosso aplicativo legado externo, que se conecta à nossa API do Discourse, está rodando em um servidor Windows 2008 R2 antigo.

Por algum motivo, o servidor Windows e o servidor do Discourse não conseguiram chegar a um acordo sobre um conjunto de cifras após as atualizações recentes do Discourse serem instaladas no início desta semana. Não sei se algumas cifras foram alteradas durante a atualização ou se esse problema coincidiu com uma renovação do certificado do Let’s Encrypt ao mesmo tempo :man_shrugging:

De qualquer forma, em vez de editar nosso Discourse, consegui adicionar alguns conjuntos de cifras ao servidor Windows que ambos concordaram, novamente com a ajuda do link do SSL Labs que @Falco compartilhou acima :slight_smile:

5

Uau, isso é muito antigo! Apenas quatro meses até o fim do suporte. Acho que é hora de substituí-lo :sweat_smile:

6

Isso poderia estar relacionado à sua alteração, @gerhard?

7

Acho que isso foi causado pela alteração dos conjuntos de cifras durante a atualização para o Debian. Eu esperava que a adição do meu certificado de curva elíptica fizesse isso funcionar em todos os sistemas Windows mais antigos, não apenas no IE11. Se não me engano, o IE11 usa a biblioteca de criptografia do Windows… :man_shrugging: