Autor Tema: Traefik - security.toml versión 1.0.6 expediente electrónico integrado  (Leído 233 veces)

0 Usuarios y 1 Visitante están viendo este tema.

mmunoz

  • General
  • *
  • Mensajes: 146
    • Ver Perfil
    • Email
  • Institución: UNPSJB
  • Nombre y apellido: Marcelo Alejandro Muñoz
  • Sistema: Siu-Araucano - Siu-kolla
  • Teléfono laboral: 0297-4557856 int 116
Buenas tardes:
                              Actualizamos a la versión 1.0.6 de EEI y tuvimos el problema que desde afuera de la intranet no se podía ingresar al ecosistema araí (nos da un error 502 bad gateway en un nginx - proxy reverso que relaciona el exterior de la universidad con la intranet) .
                              Probando llegamos a que quitando del archivo .../prod/servicios/security.toml las siguientes lineas el problema desaparece.
  [tls.options]
  [tls.options.default]
    minVersion = "VersionTLS12"
    cipherSuites = [
      "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
      "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305",
      "TLS_AES_128_GCM_SHA256",
      "TLS_AES_256_GCM_SHA384",
      "TLS_CHACHA20_POLY1305_SHA256"
    ]
    curvePreferences = [
      "CurveP521",
      "CurveP384"
    ]
    sniStrict = true

A que se podrá deber el inconveniente ? puede ser problema de certificados?

Desde ya muchas gracias por su atención.

Saludos,
Marcelo.

ablanco

  • Visitante
Re:Traefik - security.toml versión 1.0.6 expediente electrónico integrado
« Respuesta #1 on: Diciembre 03, 2020, 04:00:18 pm »
Hola! no se que es lo que puede causar el error, lo mejor para descubrir que es es ir activando las líneas del archivo security.toml de a una para ver cuál es la que falla.

Se comenzaría con el archivo todo comentado y se deberían ir descomentando las líneas. Después de cada descomentación reiniciar traefik y testear.

Una vez q encuentren cuál es la sección que trae el error ahí quizá sea más simple arreglarlo.

Saludos

mmunoz

  • General
  • *
  • Mensajes: 146
    • Ver Perfil
    • Email
  • Institución: UNPSJB
  • Nombre y apellido: Marcelo Alejandro Muñoz
  • Sistema: Siu-Araucano - Siu-kolla
  • Teléfono laboral: 0297-4557856 int 116
Re:Traefik - security.toml versión 1.0.6 expediente electrónico integrado
« Respuesta #2 on: Diciembre 03, 2020, 04:28:16 pm »
Buenas tardes Andrés, muchas gracias por responder.

               Te comento que hicimos las pruebas según lo que indicaste. El problema se presenta con la siguiente linea:

                sniStrict = true

Saludos,
Marcelo
                 

ablanco

  • Visitante
Re:Traefik - security.toml versión 1.0.6 expediente electrónico integrado
« Respuesta #3 on: Diciembre 03, 2020, 04:50:43 pm »
Entonces, probablemente el problema sea que se quieren conectar desde clientes desactualizados. Acá les paso las referencias al tema SNI
 * SNI en traefik: https://doc.traefik.io/traefik/https/tls/#strict-sni-checking
 * SNI en gral: https://en.wikipedia.org/wiki/Server_Name_Indication

Por el momento, pueden dejarlo desactivado, no es una tragedia. De cualquier manera, sería recomendable que investiguen porque falla (pueden probar conectarse desde otros lugares, por ej un celular) ya que este chequeo es parte de los requeridos para lograr una alta calificación en SSLLabs y suma a nivel de seguridad

Saludos!