Connectrix B-Series: Los navegadores web informan "Cipher mismatch, No Matching Ciphers" cuando se accede a la interfaz de usuario de WebTools mediante HTTPS
Zusammenfassung: AES256-SHA256 (0x3d) y AES128-SHA256 (0x3c) están bloqueados para TLS.
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Los navegadores web (Chrome, New Edge o Firefox) se negaron a abrir las herramientas web mediante HTTPS.
El mensaje de error contiene "Cipher Mismatch" o "No Matching Ciphers".
Figura 1: Captura de pantalla del mensaje de error que muestra conexión no segura, protocolo no compatible
El switch se ejecuta en el firmware de FOS 8.1 u 8.2.
El mensaje de error contiene "Cipher Mismatch" o "No Matching Ciphers".
Figura 1: Captura de pantalla del mensaje de error que muestra conexión no segura, protocolo no compatible
El switch se ejecuta en el firmware de FOS 8.1 u 8.2.
Ursache
La configuración del cifrado HTTPS del switch solo permite AES256-SHA256 y AES128-SHA256 para TLS 1.2 (las "plantillas default_generic" o "default_strong" de FOS 8.1 u 8.2).
El volcado wireshark muestra que el cliente no acepta AES256-SHA256 (0x3d) o AES128-SHA256 (0x3c), por lo tanto, el protocolo de enlace tls falla.
Figura 2 Captura de pantalla del volcado wireshark que muestra una falla de protocolo de enlace
:root> seccryptocfg --show | grep HTTPS HTTPS : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3 HTTPS : TLSv1.2 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3' AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256 AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
El volcado wireshark muestra que el cliente no acepta AES256-SHA256 (0x3d) o AES128-SHA256 (0x3c), por lo tanto, el protocolo de enlace tls falla.
Figura 2 Captura de pantalla del volcado wireshark que muestra una falla de protocolo de enlace
Lösung
Modifique la configuración del cifrado HTTPS del switch para cubrir al cliente.
Ejemplo:
en este ejemplo, la configuración actual del cifrado HTTPS es "! ¡ECDH:! DH:ALTO:-MD5:! ¡CAMELIA:! ¡SRP:! ¡PSK:! AESGCM:! SSLv3"
. Para habilitar AES256-GCM-SHA384 (0x9d) y AES128-GCM-SHA256 (0x9c), elimine "! AESGCM" de la configuración con el comando:
Ejemplo:
en este ejemplo, la configuración actual del cifrado HTTPS es "! ¡ECDH:! DH:ALTO:-MD5:! ¡CAMELIA:! ¡SRP:! ¡PSK:! AESGCM:! SSLv3"
. Para habilitar AES256-GCM-SHA384 (0x9d) y AES128-GCM-SHA256 (0x9c), elimine "! AESGCM" de la configuración con el comando:
seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'
Weitere Informationen
Mapear nombres de cifrado de OpenSSL (que se muestran en el comando OpenSSL) con nombres de cifrado de IANA (que se muestran en volcado wireshark) mediante el documento de Mozilla, Security/Cipher Suites - MozillaWrk
Betroffene Produkte
Connectrix B-SeriesArtikeleigenschaften
Artikelnummer: 000213633
Artikeltyp: Solution
Zuletzt geändert: 25 Aug. 2023
Version: 5
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.