Устранение неполадок с шифрованием

Итак, у меня есть работа с нашими сетевыми инженерами, и кажется, что никто не может разобраться в этой проблеме, и поэтому у меня нет выбора, так как я пытался до смерти исследовать эту проблему в Google, но безрезультатно. Таким образом, с этим, как говорится, здесь проблема и все устранение неполадок, которые были выполнены. (ПРИМЕЧАНИЕ. Все коммуникации осуществляются через подключение к веб-сайту с использованием протокола https через порт 443. Кроме того, все эти подключения проходят через внешний очищающий URL-адрес, а затем переходят в балансировщик нагрузки Citrix, который перенаправляет подключение на соответствующий сервер. где размещается служба веб-сайта. Сервер работает под управлением Windows Server 2012 R2 вместе с IIs 8.5. Да, все привязки установлены. Кроме того, я заставил sur ego явно включить TLS 1.0, 1.1 и 1.2 через реестр, чтобы убедиться, что все работало правильно.)

У меня есть связь с сайта другой компании, где до недавнего времени у нас не было проблем вообще. Изменением, произошедшим недавно, стал тот факт, что мы отключили TLS 1.0 и TLS 1.1 и включили только TLS 1.2. Как только мы это сделали, связь разорвалась. Теперь вы можете подумать, что проблема заключалась в том, что другая компания использовала более слабое соединение TLS для подключения к нам, но это оказалось неверным. Итак, первый шаг, который я предпринял, состоял в том, чтобы моя сетевая команда снова включила обе эти версии TLS, и во время выполнения Wireshark Trace я смог зафиксировать успешное соединение с нашим сервером. Что странно, так это то, что соединение говорило и общалось все время по TLS 1.2. Так что это была первая часть, которая смутила меня.

Поэтому следующим шагом, который мы предприняли, было отключить TLS 1.1 и оставить включенными TLS 1.0 и 1.2. После запуска еще одной трассировки Wireshark мы подтвердили, что соединение все еще может быть установлено и что все соединения все еще обсуждаются по TLS 1.2.

Следующим шагом, который мы выполнили, было отключение TLS 1.0 и его включение на TLS 1.1, так как мы знали, что только включение TLS 1.2 разорвало соединение. После внесения этих изменений и запуска другой трассировки Wireshark, соединение не удалось.

Получив все эти журналы, я просмотрел каждый из них, чтобы взглянуть на различия между всеми тремя. После многих копаний я думаю, что, возможно, нашел проблему, но мне нужна помощь в ее подтверждении. Одна вещь, которую я заметил, что никогда не происходило во время неудачных подключений, это то, что никогда не было попыток рукопожатия на уровне сервера. Однако, когда были успешные соединения, и все рукопожатия были выполнены, как и ожидалось, на уровне сервера. Так что это привело меня к убеждению, что проблема была в рукопожатии и что она была устранена на балансировщике нагрузки.

Я вернул эту информацию своей команде по сетевому проектированию и поговорил с ними, и они не уверены, почему включение TLS 1.0 и 1.2 и дополнительного 1.1 позволило бы установить соединение, когда в журналах Wireshark показывается, что все передавалось по TLS 1.2. Так что это привело меня к просмотру некоторых комплектов шифров, которые использовались поставщиком, и комплектов шифров, которые были одобрены для соединений в балансировщике нагрузки с моим сервером.

Покопавшись в них, я обнаружил, что набор шифров, который согласовывался каждый раз, не был одним из утвержденных наборов шифров, который был в списках балансировщиков нагрузки. Так что, честно говоря, самая большая запутанная часть всей этой ситуации заключается в том, что как можно разрешить подключение от этой другой компании, когда TLS 1.0 включен, но все те комплекты Cipher, которые они предлагают и которые они поддерживают, отсутствуют в наших утвержденных списках. Однако, когда включен только TLS 1.2, соединение с сервером никогда не устанавливается, так как кажется, что оно прерывается на балансировщике нагрузки.

Итак, сказав это, может ли кто-нибудь объяснить, почему включение TLS 1.0 и все же наборы шифров не включены в список утвержденных балансировщиков нагрузки, но их отключение не будет? Кроме того, что было бы лучше всего предпринять, чтобы попытаться разрешить соединение. Должны ли мы добавить в наш утвержденный список только один из Cipher Suites с самым высоким рейтингом, который поддерживает другая компания, и посмотреть, что произойдет потом? Или есть другие вещи, которые мы должны посмотреть на 2, устранить неполадки и попытаться найти решение?

Спасибо всем и всем за помощь и советы.