Errore "Could not create SSL/TLS secure channel" durante la connessione all'API Discourse da Windows Server

Supporto
1

Ciao a tutti,

Abbiamo aggiornato di recente alla versione 2.4.0.beta4 (1576b07a10) e, da allora, una delle nostre applicazioni esterne non riesce più ad autenticarsi con l’API di Discourse.

L’applicazione restituisce un semplice errore:

The request was aborted: Could not create SSL/TLS secure channel.

L’applicazione utilizza TLS 1.2: questo protocollo non è più supportato?

Avete qualche idea su eventuali modifiche recenti che potrebbero risparmiarmi diverse ore di debug dell’altra applicazione?

2

Le versioni 1.2 e 1.3 di TLS sono abilitate, come puoi verificare tu stesso all’indirizzo SSL Server Test (Powered by Qualys SSL Labs)

3

Grazie @Falco - confermato che è ancora lì:

08
081026×704 68.6 KB

Ok, inizierò allora con il debug: deve esserci stato qualche altro cambiamento nel nostro Discourse che sta causando il malfunzionamento delle nostre applicazioni esterne, dato che il problema si verifica sia nell’ambiente di sviluppo che in quello di produzione.

Vediamo cosa riesco a capire :+1:t2:

4

Risulta che avevamo un problema molto simile a quello descritto qui:

La nostra applicazione legacy esterna che si connette alla nostra API Discourse è in esecuzione su un vecchio server Windows 2008 R2.

Per qualche motivo, il server Windows e il server Discourse non sono riusciti a concordare una suite di cifratura dopo gli aggiornamenti recenti di Discourse installati all’inizio di questa settimana. Non so se alcune cifrature siano state modificate durante l’aggiornamento o se questo problema coincida con un rinnovo del certificato LetsEncrypt avvenuto nello stesso momento :man_shrugging:

Comunque, piuttosto che modificare il nostro Discourse, sono riuscito ad aggiungere alcune suite di cifratura al server Windows che entrambi concordavano, ancora una volta con l’aiuto del link di SSL Labs condiviso sopra da @Falco :slight_smile:

5

Wow, è davvero vecchio! Mancano solo quattro mesi alla fine del supporto. Penso sia il momento di sostituirlo :sweat_smile:

6

Potrebbe essere correlato alla tua modifica @gerhard?

7

Immagino che questo sia stato causato dal cambiamento delle suite di cifratura durante l’aggiornamento a Debian. Mi sarei aspettato che l’aggiunta del certificato a curva ellittica avrebbe reso tutto funzionante su tutti i sistemi Windows più vecchi, non solo su IE11. Se non sbaglio, IE11 utilizza la libreria crittografica di Windows… :man_shrugging: