TLSv1 o TLSv1.2

Roberto76 · 3 Gennaio 2019, 6:29pm

Buonasera a tutti,
da specifiche il protocollo SSL deve essere TLSv1.2, ma se abilito solo quest’ultimo non mi arrivano più notifiche e/o fatture. Abilitando anche il TLSv1 mi arrivano le notifiche e le fatture e nel log delle richieste SSL vedo TLSv1 come protocollo di collegamento.
Inoltre, pur ricevendo le notifiche e le fatture, occasionalmente mi ritrovo un errore nei log del tipo:

AH02261: Re-negotiation handshake failed
SSL Library Error: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate (SSL alert number 42)
SSL Library Error: error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure

A qualcuno è capitato lo stesso?

stefanotravelli · 4 Gennaio 2019, 1:23pm

Ciao Roberto,

tentativi di negoziare il protocollo SSLv3, ormai deprecato perché non sicuro, sono abbastanza frequenti su un server pubblico e di solito sono operati da bot che tentano di rilevare server potenzialmente violabili.
Potresti cercare di rilevare l’indirizzo IP di provenienza per verificare se queste chiamate provengono dal Sistema di Interscambio.

Saluti
s.

Roberto76 · 4 Gennaio 2019, 1:54pm

Ciao Stefano,
grazie della risposta.
L’indirizzo IP è proprio quella dell’agenzia, lo stesso che mi recapita notifiche e fatture correttamente
Vedo infatti nel log ssl la richiesta di post al mio endpoint ma nessun protocollo negoziato.
Il log è il seguente:
[04/Jan/2019:14:48:43 +0100] 217.175.52.231 - - “POST /RicezioneFatture.php HTTP/1.1” 229

Un richiesta che va a buon fine è la seguente:
[04/Jan/2019:14:49:29 +0100] 217.175.52.231 TLSv1 ECDHE-RSA-AES256-SHA “POST /RicezioneFatture.php HTTP/1.1” 311

Come vedi… neanche 1 minuto dopo la negoziazione va a buone fine ma con protocollo TLSv1.

Saluti

Carlo_Zanatto · 4 Gennaio 2019, 7:43pm

avete provato con il TLS1.1 ?

il mio server mi ha risposto picche per l’1.0. Dicono che è vulnerabile e per ragioni di sicurezza non lo possono abilitare.

figo, no?

marcomarsala · 4 Gennaio 2019, 7:53pm

Presumo vada in quanto sul mio server Plesk SSLv3 è disabilitato di default e sono accreditato con successo.

rcamanzi · 9 Gennaio 2019, 11:30am

Ciao Roberto,
ti notifico che anche a me sta capitando la stessa cosa. Sto provando a variare le configurazioni di apache per trovare quella giusta ma farlo su un’ambiente in produzione non è tanto agevole!!
Il problema grave è che capita di perdere le fatture passive poichè al terzo tentativo smettono d’inviarle!

Dobbiamo trovare la soluzione!

Noi usiamo una macchina debian 4.9 e apache Apache/2.4.25 (Debian) che fa da reverse proxy.
Abbiamo intestato sia il canale di ricezione/trasmissione

Riccardo

Simone_Pessotto · 11 Febbraio 2019, 10:48pm

@rcamanzi per caso hai trovato una soluzione nel frattempo ?

piloly · 10 Marzo 2020, 7:27am

Confermo la stessa problematica. Il nostro provider ha spente le versione TLS sotto 1.2 e lasciato attivo TLS 1.2 e 1.3. Da li in poi non è arrivato più nulla. Riattivando di nuovo le vecchie versioni TLS ha di nuovo risolto il problema.

Nostro provider ha spento le versioni non solo per spaglio ma perché è consigliato come non sono più sicure. Come mia il SDI non fa il cambiamento su TLS 1.2?