4 votes

monkeydluffy911 avatar

Pourquoi TLS1.0 semble-t-il encore pris en charge sur un service d'application Web "TLS1.2 minimum" sur Azure?

Demandé el 9 de Mai, 2018
Quand la question a-t-elle été
803 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un service d'application sur Azure, et comme Microsoft l'a rendu disponible récemment (le 30 avril 2018), nous avons maintenant une option pour exiger TLS 1.1 ou 1.2 :

description de l'image

Nous exécutons des scans hackerguardian pour la conformité PCI, pourtant, ils retournent toujours un échec sur le support TLS :

description de l'image

J'ai également effectué le test ssl de ssllabs. Et les résultats étaient... flous :

description de l'image

Il n'y a pas de chiffrement TLS 1.0 dans la section des suites de chiffrement, et toutes les simulations de poignée de main utilisent TLS 1.2

Enfin, si j'essaie d'ouvrir l'application dans IE avec TLS 1.2 désactivé, cela échoue :

description de l'image

Je ne suis pas sûr de ce qu'il faut essayer ensuite. Je suppose que TLS 1.0 est toujours pris en charge mais sans chiffrement, donc toutes les tentatives de connexion échouent. Y a-t-il un autre moyen de tester le support de TLS 1.0, en dehors de mon test IE ?

Demandé el 9 de Mai, 2018 par monkeydluffy911

0 votes

Avatar de Ginnungagap

Pourquoi ne pas exécuter un openssl s_client pour vérifier ce que le serveur retourne?

Commenté el 10 de Mai, 2018 par Ginnungagap

Réponse

Trop de publicités?

1voto

monkeydluffy911 avatar
monkeydluffy911 Points 9

Cela est causé par un problème de fonctionnalité réalisée, mais pas complètement réalisée. Plus d'informations sont disponibles chez Microsoft. Aujourd'hui (19 juin), il y a encore quelques cas particuliers qui ne sont pas gérés correctement. Le support complet est maintenant reporté au début de juillet (après la date de conformité PCI).

(14 mai)

Cela fonctionne en ce moment pour bloquer le TLS 1.0, mais les rapports identifient un cas particulier non pris en charge qui sera résolu probablement d'ici la fin de la semaine. Des rapports comme SSL Labs marquent le TLS 1.0 en orange comme bloqué, mais pas totalement.

Ce problème est documenté ici :

https://blogs.msdn.microsoft.com/appserviceteam/2018/05/02/breaking-change-for-sni-ssl-hostnames-on-azure-app-service/

(21 mai)

Cela a été légèrement retardé, actuellement en déploiement et sera entièrement opérationnel lors de la première semaine de juin, bien que certains puissent voir cette mise à jour plus tôt.

(14 juin - question posée)

Le TLS 1.0 semble avoir été supprimé du port 443. Merci.

Cependant, un scan nmap montre toujours que le port 455 a le TLS 1.0 et le TLS 1.1 activés.

Pouvez-vous confirmer que vous êtes au courant de cela et que vous travaillez également à supprimer le TLS 1.0 du port 455 ?

(14 juin - réponse)

@anotherazureuser - la solution pour ce port spécifique sera déployée dans 2-3 semaines. Restez à l'écoute.

Répondu el 19 de Juin, 2018 par monkeydluffy911 (9 Points )

0 votes

Avatar de vbullinger

Avez-vous d'autres mises à jour ? Nous sommes le 23 août maintenant et cela ne semble toujours pas fonctionner :/

Commenté el 23 de Août, 2018 par vbullinger

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X