Error "Could not create SSL/TLS secure channel" al conectar con la API de Discourse desde Windows Server

Soporte
1

Hola a todos,

Actualizamos recientemente a la versión 2.4.0.beta4 (1576b07a10) y, desde entonces, una de nuestras aplicaciones externas ya no puede autenticarse con la API de Discourse.

La aplicación arroja el siguiente error:

The request was aborted: Could not create SSL/TLS secure channel.

La aplicación utiliza TLS 1.2. ¿Ya no se admite?

¿Alguna idea sobre cambios recientes que podrían ahorrarme varias horas de depuración en la otra aplicación?

2

Las versiones 1.2 y 1.3 de TLS están habilitadas, como puedes verificar por ti mismo en SSL Server Test (Powered by Qualys SSL Labs)

3

Gracias @Falco, confirmado: sigue ahí:

08
081026×704 68.6 KB

Bien, procederé a depurar. Debe haber algo más que haya cambiado en nuestro Discourse, lo que está causando que nuestras aplicaciones externas fallen, ya que esto ocurre tanto en nuestros entornos de desarrollo como de producción.

Voy a ver qué puedo averiguar :+1:t2:

4

Resulta que tuvimos un problema muy similar al descrito aquí:

Nuestra aplicación externa heredada que se conecta a nuestra API de Discourse se ejecuta en un servidor antiguo con Windows 2008 R2.

Por alguna razón, el servidor Windows y el servidor de Discourse no pudieron acordar un conjunto de cifrado después de que se instalaron las actualizaciones recientes de Discourse a principios de esta semana. No sé si algunos cifrados fueron alterados durante la actualización o si este problema coincidió con una renovación del certificado de LetsEncrypt al mismo tiempo :man_shrugging:

De todos modos, en lugar de editar nuestra configuración de Discourse, pude agregar un par de conjuntos de cifrado al servidor Windows que ambos acordaron, nuevamente con la ayuda del enlace de SSL Labs que @Falco compartió arriba :slight_smile:

5

¡Vaya, eso es antiguo! Solo cuatro meses hasta el fin de vida útil. Supongo que es hora de reemplazarlo :sweat_smile:

6

¿Podría esto estar relacionado con tu cambio, @gerhard?

7

Supongo que esto fue causado por el cambio de suites de cifrado durante la actualización a Debian. Habría esperado que mi adición del certificado de curva elíptica hiciera que esto funcionara en todos los sistemas Windows anteriores, no solo en IE11. Si no estoy equivocado, IE11 utiliza la biblioteca criptográfica de Windows… :man_shrugging: