Connectrix серии B. В веб-браузерах отображается сообщение «Cipher Mismatch, No Matching Ciphers» при доступе к пользовательскому интерфейсу WebTools с помощью HTTPS.
Summary: AES256-SHA256 (0x3d) и AES128-SHA256 (0x3c) заблокированы для TLS.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Веб-браузеры (Chrome, New Edge или Firefox) отказывались открывать веб-инструменты с помощью HTTPS.
Сообщение об ошибке содержит «Cipher Mismatch» или «No Matching Ciphers».
Рис. 1. Снимок экрана сообщения об ошибке с сообщением о том, что подключение не защищено, неподдерживается протокол
Коммутатор работает в микропрограмме FOS 8.1 или 8.2.
Сообщение об ошибке содержит «Cipher Mismatch» или «No Matching Ciphers».
Рис. 1. Снимок экрана сообщения об ошибке с сообщением о том, что подключение не защищено, неподдерживается протокол
Коммутатор работает в микропрограмме FOS 8.1 или 8.2.
Cause
Параметр шифрования HTTPS на коммутаторе разрешает только AES256-SHA256 и AES128-SHA256 для TLS 1.2 («default_generic» или «default_strong templates» FOS 8.1 или 8.2).
Дамп Wireshark показывает, что клиент не принимает AES256-SHA256 (0x3d) или AES128-SHA256 (0x3c), поэтому подтверждение TLS завершается сбоем.
Рис. 2. Снимок экрана с дампом Wireshark, показывающий сбой подтверждения
:root> seccryptocfg --show | grep HTTPS HTTPS : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3 HTTPS : TLSv1.2 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3' AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256 AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
Дамп Wireshark показывает, что клиент не принимает AES256-SHA256 (0x3d) или AES128-SHA256 (0x3c), поэтому подтверждение TLS завершается сбоем.
Рис. 2. Снимок экрана с дампом Wireshark, показывающий сбой подтверждения
Resolution
Измените параметр шифрования HTTPS коммутатора, чтобы окрыть клиент.
Пример.В
данном примере текущая настройка шифрования HTTPS: «! ECDH: DH:HIGH:-MD5:! КАМЕЛИЯ:! SRP:! PSK:! AESGCM: SSLv3"
Чтобы включить AES256-GCM-SHA384 (0x9d) и AES128-GCM-SHA256 (0x9c), удалите ! AESGCM» из настройки с помощью команды:
Пример.В
данном примере текущая настройка шифрования HTTPS: «! ECDH: DH:HIGH:-MD5:! КАМЕЛИЯ:! SRP:! PSK:! AESGCM: SSLv3"
Чтобы включить AES256-GCM-SHA384 (0x9d) и AES128-GCM-SHA256 (0x9c), удалите ! AESGCM» из настройки с помощью команды:
seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'
Additional Information
Сопоставить имена шифров OpenSSL (отображаются в команде OpenSSL) с именами шифров IANA (отображаются в дампах Wireshark) с помощью документа Mozilla, security/Cipher Suites - MozillaW выполняйте команду
Affected Products
Connectrix B-SeriesArticle Properties
Article Number: 000213633
Article Type: Solution
Last Modified: 25 Aug 2023
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.