Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht

**Strict**

Nach einem eher schwerem Servercrash habe ich meine Webseite auf ein komplett neues System von netcup umgezogen. Meine Domain habe ich transferiert, Let's Excrypt installiert - wunderbar. Sie Seite funktioniert wieder. Ich bekomme auch keine HTTPS-Warnung.

Aus meiner Anwendung heraus, rufe ich eine meine Domain über HTTPS auf. Das hat immer funktioniert. Aber nun mit dem neuen Server bekomme ich diese Fehlermeldung

markieren

Delphi-Quellcode:

			Im Projekt tmp.exe ist eine Exception der Klasse EIdOSSLUnderlyingCryptoError mit der Meldung 'Fehler beim Verbinden mit SSL.

error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version' aufgetreten.

Meine HTTP-Objekte

zusammenfalten · markieren

Delphi-Quellcode:

			constructor THTTPObject.Create;

begin

 inherited;

 FIOHndl := TIdSSLIOHandlerSocketOpenSSL.Create(nil);

 Request.BasicAuthentication := True;

 HandleRedirects := True;

 ReadTimeout := 3000;

 ConnectTimeout := 3000;

 FIOHndl.ReadTimeout := 3000;

 FIOHndl.ConnectTimeout := 3000;

 IOHandler := FIOHndl;

end;

Ein explizites Hinzufügen der TLS-Versionen scheint das Problem zu beheben. Der neue Server nutzt TLS 1.2. Der alte höchstwahrscheinlich nicht.
FIOHndl.SSLOptions.SSLVersions := [sslvTLSv1_2, sslvTLSv1_1, sslvTLSv1];

Gibt es für das Problem eine temporäre, serverseitige Lösung, bis alle Clients das neue Update haben?

**jfheins**

Hi

Du müsstest einfach im Server TLS 1.0 aktivieren können. Das solltest du allerdings beizeiten auch wieder zurück nehmen und (falls möglich) nur TLS 1.2 oder höher erlauben. (Also sowohl im Client als auch im Server)
Welchen HTTP Server verwendest du denn?

**Strict**

Danke für deine Antwort. Aktuell wegen Kompatibilitäsgründen Apache.
Kannst du mir sagen, wo ich die TLS-Version bei netcup einstelle?´

Clientseitig ist das schon behoben. Aber das Update kann niemand beziehen, da der Server TLS Version 1.2 hat.

**jaenicke**

Zitat von Strict:

Kannst du mir sagen, wo ich die TLS-Version bei netcup einstelle?

Bei Bestandskunden wird nun schrittweise eine Umstellung auf neuere Betriebssysteme gemacht und damit einhergehend TLS 1.0 und 1.1 deaktiviert. Als Neukunde kann es sein, dass du das gar nicht zur Verfügung hast und auch nicht mehr einstellen kannst. Das kann nur der Support beantworten, ob man es kurzzeitig bei dir noch einmal aktivieren kann.

TLS 1.0 und 1.1 wird übrigens ab März nun auch von den großen Browsern nicht mehr unterstützt. Die Abschaltung war schon lange geplant und wird "quasi überall" gerade gemacht.

**Strict**

Danke für die Erklärungen. Dass das geplant war, wusste ich nicht. Dann ist es jetzt an der Zeit, alles richtig zu machen.
Sollte man von nun an auch direkt alle anderen verfügbaren Versionen unterstützen und nach und nach wieder entfernen, wenn es an der Zeit ist?

markieren

Delphi-Quellcode:

			type

  TIdSSLVersion = (sslvSSLv2, sslvSSLv23, sslvSSLv3, sslvTLSv1,sslvTLSv1_1,sslvTLSv1_2);

Da TLS 1.0 ohnehin ausgedient hat, sollten beim nächsten Update von Delphi in der Datei IdSSLOpenSSL auch diese Zeilen angepasst werden

markieren

Delphi-Quellcode:

			const

  DEF_SSLVERSION = sslvTLSv1_2;// DEF_SSLVERSION = sslvTLSv1;

  DEF_SSLVERSIONS = [sslvTLSv1_2]; // DEF_SSLVERSIONS = [sslvTLSv1];

**jaenicke**

Es sollte heute nur noch TLS 1.2 verwendet werden. Alle anderen aufgeführten Protokolle gelten als unsicher.

Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht

Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht

AW: Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht

AW: Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht

AW: Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht

AW: Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht

AW: Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht

Forumregeln

jfheins Registriert seit: 10. Jun 2004 Ort: Garching (TUM) 4.579 Beiträge	#2 AW: Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht 31. Mär 2020, 19:59 Hi Du müsstest einfach im Server TLS 1.0 aktivieren können. Das solltest du allerdings beizeiten auch wieder zurück nehmen und (falls möglich) nur TLS 1.2 oder höher erlauben. (Also sowohl im Client als auch im Server) Welchen HTTP Server verwendest du denn?
	Zitat

Strict Registriert seit: 24. Mär 2020 47 Beiträge	#3 AW: Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht 31. Mär 2020, 20:02 Danke für deine Antwort. Aktuell wegen Kompatibilitäsgründen Apache. Kannst du mir sagen, wo ich die TLS-Version bei netcup einstelle?´ Clientseitig ist das schon behoben. Aber das Update kann niemand beziehen, da der Server TLS Version 1.2 hat.
	Zitat

jaenicke Registriert seit: 10. Jun 2003 Ort: Berlin 9.351 Beiträge Delphi 11 Alexandria	#6 AW: Serverwechsel, jetzt funktioniert HTTPS nicht mehr - serverseitige Lösung gesucht 6. Apr 2020, 06:48 Es sollte heute nur noch TLS 1.2 verwendet werden. Alle anderen aufgeführten Protokolle gelten als unsicher. Sebastian Jänicke Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
	Zitat