Komunikace po TLS verze 1.2

Od 26. 11. 2020 je umožněna komunikace s backend servery (pro ověření licence a čerpání služeb jako např. časových razítek) pouze po TLS protokolu verze 1.2 (nebo vyšším). Proto je na straně LTD vyžadováno použití .NET Framework ve verzi alespoň 4.6.2 nebo vyšší.

Pro zajištění tohoto požadavku je zapotřebí:

<httpRuntime maxRequestLength="133120" executionTimeout="600" targetFramework="4.8"/>

Komunikace s CzechPOINT

V případě požadavků na agendu „Konverze z moci úřední“ komunikuje LTD se servery centrály CzechPOINT. Komunikace probíhá zabezpečeným kanálem na protokolu TLS verze 1.2, případně vyšší (pokud ji OS podporuje).

Podle našich zkušeností je potřeba při instalaci LTD Serveru na Windows Serveru 2012 R2 povolit šifry:

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

S nastavením odpovídajících verzí TLS protokolů a konkrétních šifer může pomoci aplikace třetí strany IISCrypto od společnosti Qualys/Nartac Software, která vyvíjí známý web pro ověření zabezpečení a zranitelností webového serveru ssllabs.com.

Webová služba vrací stavový kód HTTP 403.16

Pokud je na webové službě LTD v IIS zapnutá SSL autentizace a nastavena na Přijetí (Accept) nebo Vyžadování (Required) certifikátu, a při zavolání webové služby nebo například načtení adresy /ltd.asmx dochází k chybě se stavovým kódem HTTP 403.16, pak (viz stránky společnosti Microsoft):

  • V úložišti certifikátů operačního systému Windows certificate store v kořenových autoritách (Trusted Root Authorities) chybí certifikát vystavitele použitého autentizačního/SSL certifikátu.

  • V úložišti certifikátů operačního systému Windows certificate store v kořenových autoritách (Trusted Root Authorities) je certifikát, který není vystavitelem sebe sama (nejedná se o kořenový certifikát).

Řešením je v buď importovat kořenový certifikát vystavitele použitého autentizačního/SSL certifikátu, nebo naopak odebrat certifikáty, které nepodepisují sama sebe (nejsou kořenové).