Buonasera a tutti,
da specifiche il protocollo SSL deve essere TLSv1.2, ma se abilito solo quest’ultimo non mi arrivano più notifiche e/o fatture. Abilitando anche il TLSv1 mi arrivano le notifiche e le fatture e nel log delle richieste SSL vedo TLSv1 come protocollo di collegamento.
Inoltre, pur ricevendo le notifiche e le fatture, occasionalmente mi ritrovo un errore nei log del tipo:
tentativi di negoziare il protocollo SSLv3, ormai deprecato perché non sicuro, sono abbastanza frequenti su un server pubblico e di solito sono operati da bot che tentano di rilevare server potenzialmente violabili.
Potresti cercare di rilevare l’indirizzo IP di provenienza per verificare se queste chiamate provengono dal Sistema di Interscambio.
Ciao Stefano,
grazie della risposta.
L’indirizzo IP è proprio quella dell’agenzia, lo stesso che mi recapita notifiche e fatture correttamente
Vedo infatti nel log ssl la richiesta di post al mio endpoint ma nessun protocollo negoziato.
Il log è il seguente:
[04/Jan/2019:14:48:43 +0100] 217.175.52.231 - - “POST /RicezioneFatture.php HTTP/1.1” 229
Un richiesta che va a buon fine è la seguente:
[04/Jan/2019:14:49:29 +0100] 217.175.52.231 TLSv1 ECDHE-RSA-AES256-SHA “POST /RicezioneFatture.php HTTP/1.1” 311
Come vedi… neanche 1 minuto dopo la negoziazione va a buone fine ma con protocollo TLSv1.
Ciao Roberto,
ti notifico che anche a me sta capitando la stessa cosa. Sto provando a variare le configurazioni di apache per trovare quella giusta ma farlo su un’ambiente in produzione non è tanto agevole!!
Il problema grave è che capita di perdere le fatture passive poichè al terzo tentativo smettono d’inviarle!
Dobbiamo trovare la soluzione!
Noi usiamo una macchina debian 4.9 e apache Apache/2.4.25 (Debian) che fa da reverse proxy.
Abbiamo intestato sia il canale di ricezione/trasmissione
Confermo la stessa problematica. Il nostro provider ha spente le versione TLS sotto 1.2 e lasciato attivo TLS 1.2 e 1.3. Da li in poi non è arrivato più nulla. Riattivando di nuovo le vecchie versioni TLS ha di nuovo risolto il problema.
Nostro provider ha spento le versioni non solo per spaglio ma perché è consigliato come non sono più sicure. Come mia il SDI non fa il cambiamento su TLS 1.2?