Connectrix B-Series: Los navegadores web informan "Cipher mismatch, No Matching Ciphers" cuando se accede a la interfaz de usuario de WebTools mediante HTTPS
Resumen: AES256-SHA256 (0x3d) y AES128-SHA256 (0x3c) están bloqueados para TLS.
Este artículo se aplica a
Este artículo no se aplica a
Este artículo no está vinculado a ningún producto específico.
No se identifican todas las versiones del producto en este artículo.
Síntomas
Los navegadores web (Chrome, New Edge o Firefox) se negaron a abrir las herramientas web mediante HTTPS.
El mensaje de error contiene "Cipher Mismatch" o "No Matching Ciphers".
Figura 1: Captura de pantalla del mensaje de error que muestra conexión no segura, protocolo no compatible
El switch se ejecuta en el firmware de FOS 8.1 u 8.2.
El mensaje de error contiene "Cipher Mismatch" o "No Matching Ciphers".
Figura 1: Captura de pantalla del mensaje de error que muestra conexión no segura, protocolo no compatible
El switch se ejecuta en el firmware de FOS 8.1 u 8.2.
Causa
La configuración del cifrado HTTPS del switch solo permite AES256-SHA256 y AES128-SHA256 para TLS 1.2 (las "plantillas default_generic" o "default_strong" de FOS 8.1 u 8.2).
El volcado wireshark muestra que el cliente no acepta AES256-SHA256 (0x3d) o AES128-SHA256 (0x3c), por lo tanto, el protocolo de enlace tls falla.
Figura 2 Captura de pantalla del volcado wireshark que muestra una falla de protocolo de enlace
:root> seccryptocfg --show | grep HTTPS HTTPS : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3 HTTPS : TLSv1.2 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3' AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256 AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
El volcado wireshark muestra que el cliente no acepta AES256-SHA256 (0x3d) o AES128-SHA256 (0x3c), por lo tanto, el protocolo de enlace tls falla.
Figura 2 Captura de pantalla del volcado wireshark que muestra una falla de protocolo de enlace
Resolución
Modifique la configuración del cifrado HTTPS del switch para cubrir al cliente.
Ejemplo:
en este ejemplo, la configuración actual del cifrado HTTPS es "! ¡ECDH:! DH:ALTO:-MD5:! ¡CAMELIA:! ¡SRP:! ¡PSK:! AESGCM:! SSLv3"
. Para habilitar AES256-GCM-SHA384 (0x9d) y AES128-GCM-SHA256 (0x9c), elimine "! AESGCM" de la configuración con el comando:
Ejemplo:
en este ejemplo, la configuración actual del cifrado HTTPS es "! ¡ECDH:! DH:ALTO:-MD5:! ¡CAMELIA:! ¡SRP:! ¡PSK:! AESGCM:! SSLv3"
. Para habilitar AES256-GCM-SHA384 (0x9d) y AES128-GCM-SHA256 (0x9c), elimine "! AESGCM" de la configuración con el comando:
seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'
Información adicional
Mapear nombres de cifrado de OpenSSL (que se muestran en el comando OpenSSL) con nombres de cifrado de IANA (que se muestran en volcado wireshark) mediante el documento de Mozilla, Security/Cipher Suites - MozillaWrk
Productos afectados
Connectrix B-SeriesPropiedades del artículo
Número del artículo: 000213633
Tipo de artículo: Solution
Última modificación: 25 ago 2023
Versión: 5
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.