Verschlüsselung (besonders TLS1.3)

[Postamt]

Hallo,

wir sind neu in dem NSP-Universum und haben nun doch noch einige "Fragen".
Nach der Installation von NSP 14.0.5 auf Windows Server 2022, ist uns aufgefallen, dass wir kein TLS1.3 "sprechen" konnten.
Nach einer 5 Minuten Forschungsreise in die undurchsichtigen Internetergebnissen haben wir nachfolgende Einstellung in der Registry durchgeführt

Erst nach einem Reset auf die Standardwerte wurde TLS1.3 aktiviert, allerdings auch alle anderen unsicheren Protokolle und Ciphers.


Ein Klick auf "Empfohlene Einstellungen" deaktivierte allerdings wieder die TLS1.3 Funktion

Daraufhin haben wir noch einmal auf Standardwerte zurückgesetzt und über IISCrypto eine Härtung durchgeführt.
Nun scheint alles mit TLS1.2 und auch TLS1.3 (SMTP-TLS-Testsites) zu funktionieren.

Ein Test ergab dann:


Nun haben wir aber zwei Phänomene:
1: eine Dauermeldung
2: eine unbekannte Verschlüsselung

Andere Email-Kommunikationen mit TLS1.2 werden scheinbar richtig mit TLS1.2 dargestellt.


Ferner ist uns aufgefallen, bei jeglicher Änderung an den TLS-Änderungen über IISCrypto mussten wir das Serverzertifikat neu einlesen.....sonst kam auch bei den Vorfällen eine Fehlermeldung!

Hat jemand eine Idee, was wir falsch gemacht haben? Oder liegt hier eine Fehlinterpretation vor?



Gruss vom Postamt (Stefan)

 

[JanJäschke]

Hallo Stefan,

Dann erstmal herzlich Willkommen im NSP-Universum

Nein ihr habt alles richtig gemacht, hier müssen wir stark nach bessern.
Unsere Standards im Produkt sind veraltet und noch auf dem Stand vor TLS1.3 und der alten IIS Crypto Version.

Das Phänomen der fehlenden TLS 1.3 Information ist bereits korrigiert, also auch kein Fehler auf eurer Seite

Für Dauermeldung gibt es leider keinen workaround, da die bessere Konfiguration von unserem alten Standard abweicht ist diese immer da

Das komplette Thema der TLS Einstellungen werden wir jedoch verbessern.

Für mich interessant ist jedoch der Abschnitt, dass ihr das Server Zertifikat neu einlesen musstet. Was meinst du damit genau?
Ich habe in letzter Zeit wirklich viel mit den TLS Einstellungen und weiteren Hardenings gespielt und da kam mir nichts in diese Richtung unter

Beste Grüße
Jan

 

[Postamt]

Hallo Jan,

das mit dem Zertifikat muss ich noch einmal mit meinem Kollegen morgen besprechen.....ich bekomme das jetzt nicht mehr zusammen....
Sinngemäß war es so, sobald man an den Verschlüsselungen "geschraubt" hat....kam dann nach einem notwendigen Neustart des Servers diese "Fehlermeldung".... und die haben wir eben nur wegbekommen, wenn wir das Zertifikat neu eingelesen haben.

Vielleicht können wir das auch morgen noch einmal nachstellen......

Gebe Feedback!

 

[Postamt]

Hallo Jan,
nach Rücksprache mit meinem Kollegen kann ich nun die vorher beschriebene Situation bestätigen.....
Habe es an unserem Testsystem auch nachvollziehen können......

Ist-Situation:
IISCrypto:


NSP:

______________________________________________________________________________________________________________________________________________

Nun unter NSP die TLS-Konfiguration auf Standard zurückgesetzt:

Nach dem Reboot:
im IISCrypto:

und nun im NSP:


Das Problem ist also nachvollziehbar....

 

[JanJäschke]

Hallo Stefan,

dank für die Zuarbeit. Das werde ich bei uns einmal genau so versuchen damit wir analysieren können wieso es dazu kommt =)

LG
Jan

 

[869288141]

Hallo Jan,

Für Dauermeldung gibt es leider keinen workaround, da die bessere Konfiguration von unserem alten Standard abweicht ist diese immer da

je nachdem wie lange es dauert bis ihr den Standard in NSP Universum überarbeitet habt, evtl. die Prüfung/Ausgabe einfach deaktivieren. Weil ich und sicherlich noch weitere NSPianer sind mittlerweile "sehr genervt" davon (> 4 Jahre), dass die Meldung nach jedem Neustart wieder im Dashboard steht und damit in Monitoring ein Warning aus gibt.


Gruß,
Daniel

 

[JanJäschke]

Hallo Daniel,

ist schon festgehalten. =)
Das wird es zwar nicht mehr in 14.1 geben aber vermutlich kurz danach.

Gruß
Jan