Fehler „Could not create SSL/TLS secure channel" beim Verbinden mit der Discourse API von Windows Server aus

Unterstützung
1

Hallo zusammen,

wir haben kürzlich auf 2.4.0.beta4 aktualisiert (1576b07a10). Seit dem Update kann sich eine unserer externen Anwendungen nicht mehr mit der Discourse-API authentifizieren.

Die Anwendung wirft folgende einfache Fehlermeldung:

The request was aborted: Could not create SSL/TLS secure channel.

Die Anwendung verwendet TLS 1.2. Wird das nicht mehr unterstützt?

Habt ihr Ideen zu jüngsten Änderungen, die mir mehrere Stunden beim Debuggen der anderen Anwendung ersparen könnten?

2

Die TLS-Versionen 1.2 und 1.3 sind aktiviert, wie Sie selbst unter SSL Server Test (Powered by Qualys SSL Labs) testen können.

3

Danke @Falco – bestätigt, es ist immer noch da:

08
081026×704 68.6 KB

Alles klar, ich werde dann das Debuggen starten. Etwas anderes muss sich in unserem Discourse geändert haben, was dazu führt, dass unsere externen Anwendungen abstürzen, da dies sowohl in unserer Entwicklungs- als auch in der Produktionsumgebung auftritt.

Ich schaue mir an, was ich herausfinden kann :+1:t2:

4

Es stellt sich heraus, dass wir ein sehr ähnliches Problem hatten, wie hier beschrieben:

Unsere externe Legacy-Anwendung, die eine Verbindung zur Discourse-API herstellt, läuft auf einem alten Windows-Server 2008 R2.

Aus irgendeinem Grund konnten sich der Windows-Server und der Discourse-Server nach den kürzlich installierten Discourse-Updates zu Beginn dieser Woche nicht auf eine Cipher-Suite einigen. Ob einige Cipher während des Updates geändert wurden oder ob dieses Problem mit einer gleichzeitig stattfindenden LetsEncrypt-Zertifikatserneuerung zusammenfiel, weiß ich nicht :man_shrugging:

Jedenfalls habe ich statt Änderungen an Discourse vorzunehmen, dem Windows-Server ein paar Cipher-Suites hinzugefügt, auf die sich beide einigen konnten – wiederum mit Hilfe des SSL Labs-Links, den @Falco oben geteilt hat :slight_smile:

5

Wow, das ist alt! Nur noch vier Monate bis zum Ende des Supports. Ich denke, es ist Zeit, ihn zu ersetzen :sweat_smile:

6

Könnte das mit deiner Änderung zusammenhängen, @gerhard?

7

Ich vermute, das wurde durch die Änderung der Cipher-Suites beim Upgrade auf Debian verursacht. Ich hätte erwartet, dass mein Hinzufügen des Zertifikats mit elliptischen Kurven dafür sorgt, dass dies auf allen älteren Windows-Systemen funktioniert, nicht nur in IE11. Wenn ich mich nicht irre, nutzt IE11 die Windows-Kryptobibliothek… :man_shrugging: