ssl_error_bad_mac_alert podczas ładowania interfejsu HP iLO (Integrated Lights-Out)

Dziś problem z życia wzięty i z perspektywy pierwszej osoby, taka eksperymentalna zmiana stylu. Wszystko działo się w niedalekiej przeszłości w pobliskim biurze. Siedzimy sobie i jak zwykle dłubiemy w IOSie tudzież Excelu, kiedy do kolejki wpada zgłoszenie, które po przetłumaczeniu technicznego opisu problemu zdawało się brzmieć „Koledzy sieciowcy pomóżcie, bo nam się strona iLO nie ładuje i to nie jedna, a to znaczy, że u nas wszystko działa i to na pewno sieć.” No dobra to może nie być dokładne tłumaczenie, ale właśnie tak je zapamiętałem ;). Był też załącznik z błędem jaki pojawiał się użytkownikom Firefoxa. Pisząc już bardziej szczegółowo, istotą problemu było to, że podczas próby załadowania webowego interfejsu iLO w Firefoksie i IE wyskakiwał błąd i uniemożliwiał dalszą pracę. Wszystko działo się w zdalnej lokalizacji.

Pierwszy test każdego szanującego czas admina to oczywiście ping – karta iLO odpowiada na zapytania ICMP oraz po porcie 80. Połowa sukcesu. Czas sprawdzić w przeglądarce (Opera). Strona ładuje się. W tym miejscu oczywiście z czystym sumieniem mógłbym odesłać ticket z powrotem do właściciela i zalecić szukanie problemów gdzieś powyżej warstwy czwartej. Sieć (jak zwykle :)) działa. W IT się jednak problemom nie odpuszcza, lecz goni aż padną i więcej nie wstaną. Sprawdzam Internet explorer – ładowanie strony kończy się błędem. Firefox, niestety musiałem go najpierw zainstalować i mieć nadzieję, że system nie obrazi się, że to już piąta przeglądarka na pokładzie. Tu rzeczywiście wyskakuje błąd.

SSLilo-1

Dla pewności sprawdzam wszystkie pozostałe. Opera, Vivaldi, Chrome – działa. IE, Firefox – nie działa. Trzy pierwsze mają ten sam silnik (chromium), więc to zapewne jest przyczyna ich wzajemnej solidarności. Jaka jest zatem różnica między nimi, a Firefoksem?

Jak się okazało p szybkim wyszukiwaniu w internecie błąd ssl_error_bad_mac_alert jest dość powszechny i dotyczy problemu z szyfrowanym połączeniem, „ssl_error” nie było w nazwie dla zmyłki ;). Zacząłem więc grzebać w ustawieniach dla IE (Internet Properties w Control Panel), nie minęło dużo czasu gdy doszedłem do wpisów dotyczących protokołów SSL i TLS. Odznaczyłem TLS 1.2, czyli wyłączyłem obsługę protokołu w najwyższej, rekomendowanej wersji. Voila (włala ;)), strona web iLO działa, aż miło.

SSLilo-2

Z nieszczęsnym Firefoksem było nieco więcej roboty, bo tam, trzeba użyć „ukrytego” menu i jeszcze obiecać, że się go nie popsuje. Do firefoksowego „godmode” wchodzimy wpisując about:config w polu adresu. Zmienne odpowiedzialne, za wymuszanie protokołu TLS to security.tls.version.maxsecurity.tls.version.min. Możecie sobie max po prostu ustawić na 2. Oznacza to, że lisek od tej pory  najwyższa wersją obsługiwaną będzie TLS 1.1. Dla ścisłości:

  • 0 to SSL 3.0
  • 1 to TLS 1.0
  • 2 to TLS 1.1
  • 3 to TLS 1.2

SSLilo-3

Po takiej modyfikacji Firefox również daje radę otwierać iLO. Tak, wiem, to tylko workaround, do tego niezbyt bezpieczny. To jednak prowadzi prosto do przyczyny problemu czyli starej wersji software’u iLO, który niegdyś obsługiwał jedynie TLS 1.1. Aktualizacja tego wchodzi jednak w kompetencje twórców zgłoszenia, które do nas trafiło, więc jednak nie wszystko u nich działa :). Oprogramowanie iLO należy podnieść do najnowszej wersji, a opcje TLS zmienić na domyślne czyli wykorzystywać protokół w wersji 1.2.

Pozostaje jeszcze kwestia działania stronki w przeglądarkach na silniku chromium. One również korzystają z tych samych ustawień co IE, jednak zachowują się inaczej. Najprawdopodobniej gdy nie mogą dogadać się z serwerem za pomocą TLS 1.2, próbują protokołem w niższej wersji, czyli całkiem poprawnie i zgodnie z przewidywaniami. IE i Firefox poddają się po pierwszej nieudanej próbie.

Przeczytaj także...

5 komentarzy

  1. Łukasz Skalikow napisał(a):

    „Z nieszczęsnym Firefoksem”? NIESZCZĘSNYM? STOP mowie nienawiści!!!

    😉

    • Dariusz Góra napisał(a):

      Nie czepiaj się, ja po prostu dbam o zdrowie naszych czytelników. Kawa wypłukuje magnez, a potem ludzie stają się nerwowi. Takim tekstem może dam radę podnieść ciśnienie chociaż niektórym i nie będą musieli sięgać po tą czarną używkę. 😀

  2. Zdzich napisał(a):

    „Odznaczyłem” znaczy „włączyłem” czy „wyłączyłem” (na zrzucie ta opcja jest włączona)?

  3. Paweł Paradowski napisał(a):

    A nie lepiej w about:config dodać IP ilo do „security.tls.insecure_fallback_hosts”, niż wyłączać TLS 1.2?

Dodaj komentarz