Mit IIS Crypto SSL/TLS-Verbindungen auf Windows (Servern) härten

Bei einem wenige Tagen altem MDaemon Server vielen mir etliche Fehler im Ereignisprotokoll-System von dieser Art auf:

Protokollname: System
Quelle:        Schannel
Datum:         16.11.2017 15:56:12
Ereignis-ID:   36888
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      srv02.domain.local
Beschreibung:
Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet.
Dies kann dazu führen, dass die Verbindung beendet wird.
Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 20.
Der Windows-SChannel-Fehlerstatus lautet: 960.

Kurz beim Support nachgefragt, kam der Tipp zurück, zum einen den Webserver via

https://www.ssllabs.com/ssltest/

zu prüfen, was so out-of-the-box ein eher schlechtes Ergebnis liefert, sofern nicht schon etwas getan wurde oder z.B. ein Reverse Proxy, Security Gateway o.ä. vor den Webserver geschaltet wurde. Als weiterer Hinweis kam, man solle mit folgendem Tool die best practice in Sachen SSL/TLS anwenden und neustarten:

IIS Crypto (Download)

Wie hängt das nun mit dem MDaemon zusammen?

Die Antwort darauf liefert alt-n in seinem Blog:

The encryption protocol and cipher used by MDaemon and SecurityGateway
depend on the operating system and can be configured via the registry.
You can use the free IIS Crypto tool to set the appropriate registry keys.
More information can be found here:
https://www.nartac.com/Products/IISCrypto

Quelle: SecurityGateway 4.5.1 – With Integrated Encryption, Tracking & E-Sign with RMail!

Bevor man nun Blindlinks IIS Crypto laufen lässt, sollte man sich darüber im Klaren sein, was alles von SSL/TLS abhängig ist. Dabei spielt eine Rolle ob, was alles auf dem Server läuft. Lesenswert dazu ist dieser Artikel von Rob Willis:

RobWillis.info – Hardening SSL & TLS connections on Windows Server 2008 R2 & 2012 R2

Danksagung

Vielen Dank an den Support von EBERTLANG für die schnelle Antwort und die Tipps.

Update 16.11.2017 – 20:29

Bei einer Prüfung mit Qualys SSL Server Test gegenüber einem Kerio Connect-Server der auf einem Windows Server läuft erhält man man out-of-the-box die Note A (sofern man ein öffentliches Zertifikat verwendet). Verwendet man ein selbst-signiertes Zertifikat, erhält man ein T mit dem Hinweis, wenn man dies ignoriert, es ein A wäre.

Daraus kann man gut Erkennen, das es darauf ankommt, ob Windows-Bordmittel verwendet werden oder ob der jeweilige Webserver eigene Komponenten und Konfiguration benutzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.