Forum Tranquil IT

Bonjour,

Serveur WAPT : Debian 11 à jour
Poste client : Windows 11 23H2
WAPT 2.5.5.15691 Discovery

Suite à l'upgrade de mon serveur WAPT de 2.5.5.15640 vers 2.5.5.15691 ce matin, j'ai un message d'erreur lorsque j'essaye de mettre à jour l'agent WAPT sur les postes à l'aide de waptdeploy.exe :

Code : Tout sélectionner

waptdeploy.exe --waptsetupurl=https://srvwapt.mydomain/wapt/waptagent.exe --hash=942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b --minversion=2.5.5.15691 --tasks=autorunTray,installService,installredist2008,!autoUpgradePolicy --wait=15
{"waptsetupurl":"https://srvwapt.mydomain/wapt/waptagent.exe","hash":"942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b","minversion":"2.5.5.15691","tasks":"autorunTray,installService,installredist2008,!autoUpgradePolicy","wait":"15"}
WAPT version: 2.5.5.15640
WAPT required version: 2.5.5.15691
Wapt agent path: C:\Users\toto\AppData\Local\Temp\waptagent.exe
Wget new waptagent from https://srvwapt.mydomain/wapt/waptagent.exe
Trying to reach https://srvwapt.mydomain/wapt/waptagent.exe...
Expecting hash sha256: 942cde31e7b6144a873b0daad14db24abb040042fb6ed27ee84a76d60918aa7b
Using proxy :
Error trying to get https://srvwapt.mydomain/wapt/waptagent.exe : Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]... sleeping
Delete sheduled task "fullwaptupgrade"
An unhandled exception occurred at $00323D02:
Exception: Error downloading https://srvwapt.mydomain/wapt/waptagent.exe: [ENetSock] THttpClientSocket.DoTlsAfter: TLS failed [ESChannel <srvwapt.mydomain>: ComputeAndSendAnswer returned 80090302 [SEC_E_UNSUPPORTED_FUNCTION], System Error 1 [ERROR_INVALID_FUNCTION]]
  $00323D02
  $00325402

J'ai supprimé et regénéré les certificats SSL Nginx sous /opt/wapt/waptserver/ssl/ à l'aide du script postconf.sh => IDEM
J'ai également tenté de remplacer le FQDN du serveur wapt par l'adresse IP => IDEM (cf viewtopic.php?p=11185&hilit=%5BENetSock ... led#p11185)
J'ai forcé la réinstallation des paquets tis-waptserver tis-waptsetup et relancé le postconf => IDEM
Je suis à court d'idées, est-ce que quelqu'un a également rencontré ce problème SVP ?

Merci d'avance et bonne journée

Bon après consultation du CHANGELOG de la 2.5.5.15691, j'ai vu ça :

[IMP] waptserver: on Linux: use TLS1.3 for nginx on linux

J'ai donc repassé en TLS 1.2 dans /etc/nginx/sites-enabled/wapt.conf :

Code : Tout sélectionner

ssl_protocols               TLSv1.2;

Après relance des services Nginx ça fonctionne à nouveau

Bonjour Thomas,

il semble que Windows 11 n'active pas TLS1.3 par défaut (il y a des clefs de registre à changer).

WAPTAgent utilise OpenSSL pour toute la cryptographie, mais WAPTDeploy, pour être plus léger se base sur l'implémentation schannel de Windows pour éviter d'avoir à embarquer OpenSSL (ce qui doublerait la taille de waptdeploy...). Et la conf schannel par défaut d'un win11 n'a pas le tls1.3 activé (il y a une clef de registre / GPO à mettre pour cela). Note : Edge fait du TLS1.3 car il se base sur la couche TLS de Chromium et non celle de Windows, donc ça induit un peu en erreur. Note2: histoire d'induire encore plus en erreur l'adminsys insouciant, TLS1.3 avait été activé sur Win10 depuis déjà quelques années alors que Microsoft dit que ce n'est pas le cas, et Windows 11 c'est pas activé alors que Microsoft dit que c'est le cas[1]...

On avait basculé en TLS1.3 pour le passage en certification CSPN, mais vu que TLS1.2 est encore accepté au niveau ANSSI, je crois que l'on va modifier la Target of Evaluation pour spécifier TLS1.2, ça sera plus simple.

Merci pour cette remonté.

Cordialement,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support

dcardon a écrit : ↑25 juil. 2024 - 17:15 Bonjour Thomas,

il semble que Windows 11 n'active pas TLS1.3 par défaut (il y a des clefs de registre à changer).

WAPTAgent utilise OpenSSL pour toute la cryptographie, mais WAPTDeploy, pour être plus léger se base sur l'implémentation schannel de Windows pour éviter d'avoir à embarquer OpenSSL (ce qui doublerait la taille de waptdeploy...). Et la conf schannel par défaut d'un win11 n'a pas le tls1.3 activé (il y a une clef de registre / GPO à mettre pour cela). Note : Edge fait du TLS1.3 car il se base sur la couche TLS de Chromium et non celle de Windows, donc ça induit un peu en erreur. Note2: histoire d'induire encore plus en erreur l'adminsys insouciant, TLS1.3 avait été activé sur Win10 depuis déjà quelques années alors que Microsoft dit que ce n'est pas le cas, et Windows 11 c'est pas activé alors que Microsoft dit que c'est le cas[1]...

On avait basculé en TLS1.3 pour le passage en certification CSPN, mais vu que TLS1.2 est encore accepté au niveau ANSSI, je crois que l'on va modifier la Target of Evaluation pour spécifier TLS1.2, ça sera plus simple.

Merci pour cette remonté.

Cordialement,

Denis

[1] https://learn.microsoft.com/en-us/windo ... on-support

Bonjour Denis,

Merci pour votre retour, effectivement ça ne s'invente pas, et il est surprenant que Windows 11 n'active pas le TLS 1.3 par défaut, bon à savoir ...
Et la gestion indépendante des versions de TLS des navigateurs n'aident pas à s'y retrouver, mais j'ai fini par comprendre que c'était ça qui devait poser problème. Du coup si je comprends bien vous allez rester sur du TLS 1.2 tant qu'il sera toujours validé par l'ANSSI ?

Merci et bonne soirée,

Thomas

Forum Tranquil IT

[RESOLU] WAPT 2.5.5.15691 : Erreur TLS avec waptdeploy.exe

[RESOLU] WAPT 2.5.5.15691 : Erreur TLS avec waptdeploy.exe

Re: WAPT 2.5.5.15691 : Erreur TLS avec waptdeploy.exe

Re: WAPT 2.5.5.15691 : Erreur TLS avec waptdeploy.exe

Re: WAPT 2.5.5.15691 : Erreur TLS avec waptdeploy.exe