Foro de TI tranquilo

Buen día,

Servidor WAPT: Debian 11 actualizado
Estación de trabajo del cliente: Windows 11 23H2
Descubrimiento WAPT 2.5.5.15691

Después de actualizar mi servidor WAPT de 2.5.5.15640 a 2.5.5.15691 esta mañana, recibo un mensaje de error cuando intento actualizar el agente WAPT en las estaciones de trabajo usando waptdeploy.exe:

Código: Seleccionar todo

waptdeploy.exe --waptsetupurl=https://srvwapt.mydomain/wapt/waptagent.exe --hash=942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b --minversion=2.5.5.15691 --tasks=autorunTray,installService,installredist2008,!autoUpgradePolicy --wait=15
{"waptsetupurl":"https://srvwapt.mydomain/wapt/waptagent.exe","hash":"942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b","minversion":"2.5.5.15691","tasks":"autorunTray,installService,installredist2008,!autoUpgradePolicy","wait":"15"}
WAPT version: 2.5.5.15640
WAPT required version: 2.5.5.15691
Wapt agent path: C:\Users\toto\AppData\Local\Temp\waptagent.exe
Wget new waptagent from https://srvwapt.mydomain/wapt/waptagent.exe
Trying to reach https://srvwapt.mydomain/wapt/waptagent.exe...
Expecting hash sha256: 942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b
Using proxy :
Error trying to get https://srvwapt.mydomain/wapt/waptagent.exe : Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]... sleeping
Delete sheduled task "fullwaptupgrade"
An unhandled exception occurred at $00323D02:
Exception: Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]
  $00323D02
  $00325402

Eliminé y regeneré los certificados SSL de Nginx en /opt/wapt/waptserver/ssl/ usando el script postconf.sh => MISMO
También intenté reemplazar el FQDN del servidor Wapt con la dirección IP => MISMO RESULTADO (ver viewtopic.php?p=11185&hilit=%5BENetSock ... led#p11185)
Forcé la reinstalación de los paquetes tis-waptserver y tis-waptsetup y reinicié postconf => MISMO RESULTADO
Me he quedado sin ideas, ¿alguien más se ha encontrado con este problema, por favor?

Gracias de antemano y que tenga un buen día

Bueno, después de consultar el REGISTRO DE CAMBIOS de la versión 2.5.5.15691, vi esto:

[IMP] waptserver: en Linux: use TLS1.3 para nginx en Linux

Así que volví a TLS 1.2 en /etc/nginx/sites-enabled/wapt.conf:

Código: Seleccionar todo

ssl_protocols               TLSv1.2;

Después de reiniciar los servicios Nginx, vuelve a funcionar

Hola Thomas,

parece que Windows 11 no habilita TLS 1.3 de forma predeterminada (hay claves de registro que deben modificarse).

WAPTAgent usa OpenSSL para toda la criptografía, pero WAPTDeploy, para ser más ligero, se basa en la implementación de schannel de Windows para evitar tener que incluir OpenSSL (lo que duplicaría el tamaño de waptdeploy...). Y la configuración predeterminada de schannel en Windows 11 no tiene TLS 1.3 habilitado (hay una clave de registro/GPO que debe configurarse para esto). Nota: Edge usa TLS 1.3 porque se basa en la capa TLS de Chromium y no en la de Windows, así que esto puede resultar un poco confuso. Nota 2: Para seguir confundiendo al administrador de sistemas desprevenido, TLS 1.3 lleva habilitado en Windows 10 varios años, aunque Microsoft diga lo contrario, y no está habilitado en Windows 11, aunque Microsoft diga lo contrario[1]...

Cambiamos a TLS 1.3 para el proceso de certificación CSPN, pero como ANSSI todavía acepta TLS 1.2, creo que modificaremos el Objetivo de evaluación para especificar TLS 1.2; será más sencillo.

Gracias por llamar nuestra atención sobre esto.

Saludos cordiales,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support

dcardon escribió: ↑25 de julio de 2024 - 17:15 Hola Thomas,

parece que Windows 11 no habilita TLS 1.3 de forma predeterminada (hay claves de registro que deben modificarse).

WAPTAgent utiliza OpenSSL para toda la criptografía, pero WAPTDeploy, para ser más ligero, se basa en la implementación de schannel de Windows para evitar tener que incluir OpenSSL (lo que duplicaría el tamaño de waptdeploy...). Y la configuración predeterminada de schannel en una máquina Windows 11 no tiene TLS 1.3 habilitado (hay una clave de registro/GPO que debe configurarse para ello). Nota: Edge utiliza TLS 1.3 porque se basa en la capa TLS de Chromium y no en la de Windows, por lo que esto es un poco engañoso. Nota 2: Para seguir confundiendo al administrador de sistemas desprevenido, TLS 1.3 lleva habilitado en Windows 10 varios años, aunque Microsoft diga lo contrario, y no está habilitado en Windows 11, aunque Microsoft diga lo contrario[1]...

Cambiamos a TLS 1.3 para el proceso de certificación CSPN, pero como ANSSI todavía acepta TLS 1.2, creo que modificaremos el Objetivo de evaluación para especificar TLS 1.2; será más sencillo.

Gracias por llamar nuestra atención sobre esto.

Saludos cordiales,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support

Hola Denis,

Gracias por tus comentarios, tienes razón, no es algo que puedas inventar y es sorprendente que Windows 11 no habilite TLS 1.3 de forma predeterminada, es bueno saberlo...
Y la gestión independiente de las versiones de TLS por parte de los navegadores no ayuda, pero finalmente comprendí que ese era el problema. Entonces, si entiendo bien, ¿mantendrán TLS 1.2 mientras siga validado por ANSSI?

Gracias y que tenga una buena noche

Tomás

Foro de TI tranquilo

[RESUELTO] WAPT 2.5.5.15691: Error TLS con waptdeploy.exe

[RESUELTO] WAPT 2.5.5.15691: Error TLS con waptdeploy.exe

Re: WAPT 2.5.5.15691: Error de TLS con waptdeploy.exe

Re: WAPT 2.5.5.15691: Error de TLS con waptdeploy.exe

Re: WAPT 2.5.5.15691: Error de TLS con waptdeploy.exe