Stellen Sie bitte sicher, dass Ihr XELOS System korrekt konfiguriert ist.
TLS 1.2 seit Januar 2020
Seit Januar 2020 gelten die Verschlüsselungen TLS 1.0 und TLS 1.1 als nicht mehr unterstützt und es wird dringend empfohlen die Kommunikation über SSL TLS 1.2 abzusichern.
Diese Änderung wird ab März von vielen Herstellern durch Warnungen und Patches forciert an Anwender und Administratoren durchgesetzt. Wir haben die Auswirkungen und notwendigen Änderungen für XELOS Systeme in diesem Artikel zusammengefasst.
Warnungen und Fehlermeldungen ab März 2020
Browser
Alle gängigen Browser werden in den kommenden Updates die Kommunikation nur noch über TLS1.2 (oder höher) erlauben und andere Verbindungen blockieren.
- Firefox 74 (Rollout ab 10.März) wird eine Fehlermeldung "SSL_ERROR_UNSUPPORTED_VERSION" zeigen, wenn der Server nicht über TLS 1.2 oder höher kommunizieren kann.
- Chrome 81 (Rollout ab 17.März) wird Seiten über TLS 1 und TLS 1.1 blockieren
- Safari (Rollout März) stellt komplett den Support für die Kommunikation auf älteren Versionen ein
- IE Edge 82 (Rollout April) wird Seiten vermutlich komplett blockieren
- Internet Explorer (1. Halbjahr 2020) wird den Support ebenfalls einstellen
Active Directory
Anstehende Patches (März 2020) von Microsoft für das Active Directory werden bei der LDAP Verbindung zukünftig nur noch LDAPS über TLS unterstützen.
Wenn Sie XELOS mit der Authentifizierungsmethode Active Directory oder/und die Active Directory Synchronisation verwenden und dort das LDAP Protokoll (ohne SSL) verwenden, wird es nicht mehr möglich sein sich in XELOS einzuloggen.
WebDAV Laufwerk
Bitte stellen Sie sicher, dass Windows Clients nicht veraltet sind und insbesondere KB3140245 und KB3076949 installiert sind. (Windows 10 sollte nicht betroffen sein)
XELOS Office Integration (XOI)
Wenn Sie eine ältere Version der XELOS Office Integration verwenden, aktualisieren Sie bitte auf die letzte Version für TLS 1.2 Unterstützung.
Ist Ihre XELOS Installation betroffen?
Alle XELOS Konfigurationen unterstützen normal TLS 1.2, daher ist eine kompletter Ausfall nach einem Browserupdate sehr unwahrscheinlich. Allerdings sollte auch die Möglichkeit auf TLS 1.0/1.1 zu kommunizieren abgeschaltet werden.
Prüfen Sie Ihre SSL Einstellungen z.B. mit dem Qualys SSL Test - erhalten Sie ein A+ Rating ist Ihre Verbindung im Sinne der aktuell Best Practice konfiguriert:
Prüfen Sie ansonsten die Warnungen / Hinweise:
Wichtigste Schritte zur Aktualisierung
XELOS als Docker Container (Standard seit Ende 2018)
Aktualisieren Sie den XELOS Docker Container durch das Standard-Update-Verfahren (Auszuführen im Verzeichnis der Docker-Konfiguration [ /server/docker/xelos]):
docker-compose pull
docker-compose up -d
Sonstige XELOS Installation (Installation vor 2018)
Aktualisieren Sie die NGINX Konfiguration und ändern Sie den Eintrag "ssl_protocols" unter /etc/nginx/conf.d/xelos.conf auf TLSv1.2:
ssl_protocols TLSv1.2;
Update Active Directory Auth / Sync
Aktivieren Sie SSL/TLS für die Kommunikation von XELOS zu Active Directory. Wenn das TLS Root Zertifikat des Active Directory nicht bekannt ist, muss zusätzlich die Option "Ignore TLS certificate" angehakt sein, damit die Verbindung fehlerfrei funktioniert.