Connectrix B-Series: Los navegadores web informan "Cipher mismatch, No Matching Ciphers" cuando se accede a la interfaz de usuario de WebTools mediante HTTPS
概要: AES256-SHA256 (0x3d) y AES128-SHA256 (0x3c) están bloqueados para TLS.
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Los navegadores web (Chrome, New Edge o Firefox) se negaron a abrir las herramientas web mediante HTTPS.
El mensaje de error contiene "Cipher Mismatch" o "No Matching Ciphers".
Figura 1: Captura de pantalla del mensaje de error que muestra conexión no segura, protocolo no compatible
El switch se ejecuta en el firmware de FOS 8.1 u 8.2.
El mensaje de error contiene "Cipher Mismatch" o "No Matching Ciphers".
Figura 1: Captura de pantalla del mensaje de error que muestra conexión no segura, protocolo no compatible
El switch se ejecuta en el firmware de FOS 8.1 u 8.2.
原因
La configuración del cifrado HTTPS del switch solo permite AES256-SHA256 y AES128-SHA256 para TLS 1.2 (las "plantillas default_generic" o "default_strong" de FOS 8.1 u 8.2).
El volcado wireshark muestra que el cliente no acepta AES256-SHA256 (0x3d) o AES128-SHA256 (0x3c), por lo tanto, el protocolo de enlace tls falla.
Figura 2 Captura de pantalla del volcado wireshark que muestra una falla de protocolo de enlace
:root> seccryptocfg --show | grep HTTPS HTTPS : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3 HTTPS : TLSv1.2 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3' AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256 AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
El volcado wireshark muestra que el cliente no acepta AES256-SHA256 (0x3d) o AES128-SHA256 (0x3c), por lo tanto, el protocolo de enlace tls falla.
Figura 2 Captura de pantalla del volcado wireshark que muestra una falla de protocolo de enlace
解決方法
Modifique la configuración del cifrado HTTPS del switch para cubrir al cliente.
Ejemplo:
en este ejemplo, la configuración actual del cifrado HTTPS es "! ¡ECDH:! DH:ALTO:-MD5:! ¡CAMELIA:! ¡SRP:! ¡PSK:! AESGCM:! SSLv3"
. Para habilitar AES256-GCM-SHA384 (0x9d) y AES128-GCM-SHA256 (0x9c), elimine "! AESGCM" de la configuración con el comando:
Ejemplo:
en este ejemplo, la configuración actual del cifrado HTTPS es "! ¡ECDH:! DH:ALTO:-MD5:! ¡CAMELIA:! ¡SRP:! ¡PSK:! AESGCM:! SSLv3"
. Para habilitar AES256-GCM-SHA384 (0x9d) y AES128-GCM-SHA256 (0x9c), elimine "! AESGCM" de la configuración con el comando:
seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'
その他の情報
Mapear nombres de cifrado de OpenSSL (que se muestran en el comando OpenSSL) con nombres de cifrado de IANA (que se muestran en volcado wireshark) mediante el documento de Mozilla, Security/Cipher Suites - MozillaWrk
対象製品
Connectrix B-Series文書のプロパティ
文書番号: 000213633
文書の種類: Solution
最終更新: 25 8月 2023
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。