problem connection ssl.

Bonjour à tous et meilleurs vœux,
Je bute sur un problème de connection en ssl avec le cas suivant :

1. Je dispose d’un poste avec psql (version 15.x) et j’essaie depuis ce même poste de me connecter en ssl vers 2 serveurs postgresql 15 qui m’ont vraiment l’air d’être configurés de la même façon. (ssl = on , certificat et clé ok …)

a. La connexion vers le serveur 1 aboutit et dans une trace réseau wireshark je vois des trames avec PROTOCOL TLSv1.3

b. La connexion vers le serveur 2 n’aboutit pas et dans une trace réseau wireshark je vois des trames avec PROTOCOL TLSv1 (j’ai pourtant les mêmes chose pour ssl_min_protocol_version)

2. Depuis un serveur applicatif (probablement dans la même zone au niveau sécurité /parefeu) ou même en local je peux parfaitement faire du ssl sur le serveur 2 et la requête « SELECT datname, usename, ssl, version, cipher, bits FROM pg_stat_ssl JOIN pg_stat_activity USING (pid); » montre bien des connexions SSL en TLSv1.2 ou 1.3.

Je m’interroge sur ce qui cloche et excepté une tentative de TLSv1 qui est rejeté je ne comprends pas ce que je peux faire. Pour psql fait un coup du TLSv1.3 et un autre du TLSv1 alors que les 2 serveurs ont des clé / certificats établis par le même procédé / autorité et que les confs sont identiques ? Que puis-je vérifier de plus ? J’ai le même problème avec d’autres clients que psql (du code R avec sslmode = require ou bien encore un outil d’admin de PG).
Merci par avance à ceux / celles qui disposent des connaissances pour pouvoir m’aider.*
Alain.

Bonjour Alain et bonne année à tous,

Est-ce qu'il pourrait y avoir un élément réseau entre le poste de test et
le serveur qui ne laisse pas passer les protocoles TLS plus récents (comme
un firewall ou un load-balancer)?

Thomas

Le lun. 8 janv. 2024 à 17:26, Alain Benard <alain(dot)benard(at)inrae(dot)fr> a écrit :

> Bonjour à tous et meilleurs vœux,
>
> Je bute sur un problème de connection en ssl avec le cas suivant :
>
> 1. Je dispose d’un poste avec psql (version 15.x) et j’essaie depuis
> ce même poste de me connecter en ssl vers 2 serveurs postgresql 15 qui
> m’ont vraiment l’air d’être configurés de la même façon. (ssl = on ,
> certificat et clé ok …)
>
> a. La connexion vers le serveur 1 aboutit et dans une trace réseau
> wireshark je vois des trames avec PROTOCOL TLSv1.3
>
> b. La connexion vers le serveur 2 n’aboutit pas et dans une trace
> réseau wireshark je vois des trames avec PROTOCOL TLSv1 (j’ai pourtant les
> mêmes chose pour ssl_min_protocol_version)
>
> 2. Depuis un serveur applicatif (probablement dans la même zone au
> niveau sécurité /parefeu) ou même en local je peux parfaitement faire du
> ssl sur le serveur 2 et la requête « SELECT datname, usename, ssl, version,
> cipher, bits FROM pg_stat_ssl JOIN pg_stat_activity USING (pid); » montre
> bien des connexions SSL en TLSv1.2 ou 1.3.
>
>
>
> Je m’interroge sur ce qui cloche et excepté une tentative de TLSv1 qui est
> rejeté je ne comprends pas ce que je peux faire. Pour psql fait un coup du
> TLSv1.3 et un autre du TLSv1 alors que les 2 serveurs ont des clé /
> certificats établis par le même procédé / autorité et que les confs sont
> identiques ? Que puis-je vérifier de plus ? J’ai le même problème avec
> d’autres clients que psql (du code R avec sslmode = require ou bien encore
> un outil d’admin de PG).
>
> Merci par avance à ceux / celles qui disposent des connaissances pour
> pouvoir m’aider.*
>
> Alain.
>

Bonjour,

en fait, il est normalement recommandé de ne pas utiliser TLSv1.0 et
TLSv1.1 car il y a une faille de sécurité dans le protocole.

Il ne faut pas confondre le protocole de communication avec les
certificats. Si l'un des deux serveurs répond avec du TLSv1.0 et l'autre
en TLSv1.3 c'est qu'il y a obligatoirement une différence de
configuration quelque part soit sur les serveurs, soit sur le client
(application ou système).

Cordialement

Le 08/01/2024 à 17:01, Alain Benard a écrit :
>
> Bonjour à tous et meilleurs vœux,
>
> Je bute sur un problème de connection en ssl avec le cas suivant :
>
> 1.Je dispose d’un poste avec psql (version 15.x) et j’essaie depuis ce
> même poste de me connecter en ssl vers 2 serveurs postgresql 15 qui
> m’ont vraiment l’air d’être configurés de la même façon. (ssl = on ,
> certificat et clé ok …)
>
> a.La connexion vers le serveur 1 aboutit et dans une trace réseau
> wireshark  je vois des trames avec PROTOCOL TLSv1.3
>
> b.La connexion vers le serveur 2 n’aboutit pas et dans une trace
> réseau wireshark  je vois des trames avec PROTOCOL TLSv1 (j’ai
> pourtant les mêmes chose pour ssl_min_protocol_version)
>
> 2.Depuis un serveur applicatif (probablement dans la même zone au
> niveau sécurité /parefeu) ou même en local je peux parfaitement faire
> du ssl sur le serveur 2 et la requête « SELECT datname, usename, ssl,
> version, cipher, bits FROM pg_stat_ssl JOIN pg_stat_activity USING
> (pid); » montre bien des connexions SSL en TLSv1.2 ou 1.3.
>
> Je m’interroge sur ce qui cloche et excepté une tentative de TLSv1 qui
> est rejeté je ne comprends pas ce que je peux faire. Pour psql fait un
> coup du TLSv1.3 et un autre du TLSv1 alors que les 2 serveurs ont des
> clé / certificats établis par le même procédé / autorité et que les
> confs sont identiques ? Que puis-je vérifier de plus ? J’ai le même
> problème avec d’autres clients que psql (du code R avec sslmode =
> require ou bien encore un outil d’admin de PG).
>
> Merci par avance à ceux / celles qui disposent des connaissances pour
> pouvoir m’aider.*
>
> Alain.
>

Bonjour Thomas,

Oui il y a à coup sûr un firewall mis en œuvre par notre DSI. Avant de les contacter j’essaie de comprendre pourquoi il y a une tentative en TLSv1 (ça ne m’étonnerai pas que ce soit bloqué par un parefeu) alors que le même client (et d’autres aussi) est capable de faire du TLSv1.3 avec un autre serveur postgres. Par ailleurs le même serveur est capable d’avoir des connexions montées avec du TLSv1.2 ou TLSv1.3. Pourquoi cette tentative et que puis-je vérifier ? Les logs postgres sont très pauvres sur cette tentative : « could not accept SSL connection: Connection reset by peer ». Coté client sous R j’obtiens « port 5432 failed: server closed the connection unexpectedly ». Il y a donc très certainement une coupure par un tiers (firewall) mais pourquoi la connexion tente de s’établir avec cette vieille version ? que puis-je vérifier /tenter ?

Merci et bonne journée.

De : Thomas Boussekey [mailto:thomas(dot)boussekey(at)gmail(dot)com]
Envoyé : lundi 8 janvier 2024 21:28
À : Alain Benard <alain(dot)benard(at)inrae(dot)fr>
Cc : pgsql-fr-generale(at)lists(dot)postgresql(dot)org
Objet : Re: problem connection ssl.

Bonjour Alain et bonne année à tous,

Est-ce qu'il pourrait y avoir un élément réseau entre le poste de test et le serveur qui ne laisse pas passer les protocoles TLS plus récents (comme un firewall ou un load-balancer)?

Thomas

Le lun. 8 janv. 2024 à 17:26, Alain Benard <alain(dot)benard(at)inrae(dot)fr<mailto:alain(dot)benard(at)inrae(dot)fr>> a écrit :
Bonjour à tous et meilleurs vœux,
Je bute sur un problème de connection en ssl avec le cas suivant :

1. Je dispose d’un poste avec psql (version 15.x) et j’essaie depuis ce même poste de me connecter en ssl vers 2 serveurs postgresql 15 qui m’ont vraiment l’air d’être configurés de la même façon. (ssl = on , certificat et clé ok …)

a. La connexion vers le serveur 1 aboutit et dans une trace réseau wireshark je vois des trames avec PROTOCOL TLSv1.3

b. La connexion vers le serveur 2 n’aboutit pas et dans une trace réseau wireshark je vois des trames avec PROTOCOL TLSv1 (j’ai pourtant les mêmes chose pour ssl_min_protocol_version)

2. Depuis un serveur applicatif (probablement dans la même zone au niveau sécurité /parefeu) ou même en local je peux parfaitement faire du ssl sur le serveur 2 et la requête « SELECT datname, usename, ssl, version, cipher, bits FROM pg_stat_ssl JOIN pg_stat_activity USING (pid); » montre bien des connexions SSL en TLSv1.2 ou 1.3.

Je m’interroge sur ce qui cloche et excepté une tentative de TLSv1 qui est rejeté je ne comprends pas ce que je peux faire. Pour psql fait un coup du TLSv1.3 et un autre du TLSv1 alors que les 2 serveurs ont des clé / certificats établis par le même procédé / autorité et que les confs sont identiques ? Que puis-je vérifier de plus ? J’ai le même problème avec d’autres clients que psql (du code R avec sslmode = require ou bien encore un outil d’admin de PG).
Merci par avance à ceux / celles qui disposent des connaissances pour pouvoir m’aider.*
Alain.

Bonjour Tzacos,
Je viens de répondre à Thomas et je pense que cette réponse correspond aussi à ton message. Il est à peu près certain (je contacterai notre dsi prochainement) qu’un pare feu coupe la tentative de TLSv1 mais pourquoi la connexion utilise-t-elle cette version alors que le client et le serveur sont tous 2 capables de faire du TLSv1.2 ou 1.3 ?? Je ne comprends pas ce qui cloche ni quoi vérifier au niveau postgres voire OS (dans quelle mesure Postgres subirait-il des éléments de la conf OS [ubuntu 22.04], lesquels et qoui vérifier / modifier (je suis sur des machines virtuelles qui sont normalement installées de manières très similaires.
Merci et bonne journée.
Alain.

De : Tzacos [mailto:tzacos(at)free(dot)fr]
Envoyé : lundi 8 janvier 2024 21:43
À : Alain Benard <alain(dot)benard(at)inrae(dot)fr>; pgsql-fr-generale(at)lists(dot)postgresql(dot)org
Objet : Re: problem connection ssl.

Bonjour,

en fait, il est normalement recommandé de ne pas utiliser TLSv1.0 et TLSv1.1 car il y a une faille de sécurité dans le protocole.

Il ne faut pas confondre le protocole de communication avec les certificats. Si l'un des deux serveurs répond avec du TLSv1.0 et l'autre en TLSv1.3 c'est qu'il y a obligatoirement une différence de configuration quelque part soit sur les serveurs, soit sur le client (application ou système).

Cordialement
Le 08/01/2024 à 17:01, Alain Benard a écrit :
Bonjour à tous et meilleurs vœux,
Je bute sur un problème de connection en ssl avec le cas suivant :

1. Je dispose d’un poste avec psql (version 15.x) et j’essaie depuis ce même poste de me connecter en ssl vers 2 serveurs postgresql 15 qui m’ont vraiment l’air d’être configurés de la même façon. (ssl = on , certificat et clé ok …)

1. La connexion vers le serveur 1 aboutit et dans une trace réseau wireshark je vois des trames avec PROTOCOL TLSv1.3

2. La connexion vers le serveur 2 n’aboutit pas et dans une trace réseau wireshark je vois des trames avec PROTOCOL TLSv1 (j’ai pourtant les mêmes chose pour ssl_min_protocol_version)

2. Depuis un serveur applicatif (probablement dans la même zone au niveau sécurité /parefeu) ou même en local je peux parfaitement faire du ssl sur le serveur 2 et la requête « SELECT datname, usename, ssl, version, cipher, bits FROM pg_stat_ssl JOIN pg_stat_activity USING (pid); » montre bien des connexions SSL en TLSv1.2 ou 1.3.

Je m’interroge sur ce qui cloche et excepté une tentative de TLSv1 qui est rejeté je ne comprends pas ce que je peux faire. Pour psql fait un coup du TLSv1.3 et un autre du TLSv1 alors que les 2 serveurs ont des clé / certificats établis par le même procédé / autorité et que les confs sont identiques ? Que puis-je vérifier de plus ? J’ai le même problème avec d’autres clients que psql (du code R avec sslmode = require ou bien encore un outil d’admin de PG).
Merci par avance à ceux / celles qui disposent des connaissances pour pouvoir m’aider.*
Alain.

Bonjour,
Sans comprendre pourquoi l’analyseur de trace voyait une tentative TLSv1 (peut-être un bug de l’analyseur) j’ai remonté l’information à notre équipe sécurité (le client et le serveur voyant un reset by peer il y avait forcément un troisième laron) qui m’a confirmé qu’une règle obsolète était à l’origine de la coupure. Le nécessaire a été fait et tout fonctionne parfaitement. Cette info TLSv1 restera donc un mystère pour moi.
Bonne journée à tous.
Alain.

De : Alain Benard <alain(dot)benard(at)inrae(dot)fr>
Envoyé : mardi 9 janvier 2024 08:37
À : Thomas Boussekey <thomas(dot)boussekey(at)gmail(dot)com>
Cc : pgsql-fr-generale(at)lists(dot)postgresql(dot)org
Objet : RE: problem connection ssl.

Bonjour Thomas,

Oui il y a à coup sûr un firewall mis en œuvre par notre DSI. Avant de les contacter j’essaie de comprendre pourquoi il y a une tentative en TLSv1 (ça ne m’étonnerai pas que ce soit bloqué par un parefeu) alors que le même client (et d’autres aussi) est capable de faire du TLSv1.3 avec un autre serveur postgres. Par ailleurs le même serveur est capable d’avoir des connexions montées avec du TLSv1.2 ou TLSv1.3. Pourquoi cette tentative et que puis-je vérifier ? Les logs postgres sont très pauvres sur cette tentative : « could not accept SSL connection: Connection reset by peer ». Coté client sous R j’obtiens « port 5432 failed: server closed the connection unexpectedly ». Il y a donc très certainement une coupure par un tiers (firewall) mais pourquoi la connexion tente de s’établir avec cette vieille version ? que puis-je vérifier /tenter ?

Merci et bonne journée.

De : Thomas Boussekey [mailto:thomas(dot)boussekey(at)gmail(dot)com]
Envoyé : lundi 8 janvier 2024 21:28
À : Alain Benard <alain(dot)benard(at)inrae(dot)fr<mailto:alain(dot)benard(at)inrae(dot)fr>>
Cc : pgsql-fr-generale(at)lists(dot)postgresql(dot)org<mailto:pgsql-fr-generale(at)lists(dot)postgresql(dot)org>
Objet : Re: problem connection ssl.

Bonjour Alain et bonne année à tous,

Est-ce qu'il pourrait y avoir un élément réseau entre le poste de test et le serveur qui ne laisse pas passer les protocoles TLS plus récents (comme un firewall ou un load-balancer)?

Thomas

Le lun. 8 janv. 2024 à 17:26, Alain Benard <alain(dot)benard(at)inrae(dot)fr<mailto:alain(dot)benard(at)inrae(dot)fr>> a écrit :
Bonjour à tous et meilleurs vœux,
Je bute sur un problème de connection en ssl avec le cas suivant :

1. Je dispose d’un poste avec psql (version 15.x) et j’essaie depuis ce même poste de me connecter en ssl vers 2 serveurs postgresql 15 qui m’ont vraiment l’air d’être configurés de la même façon. (ssl = on , certificat et clé ok …)

a. La connexion vers le serveur 1 aboutit et dans une trace réseau wireshark je vois des trames avec PROTOCOL TLSv1.3

b. La connexion vers le serveur 2 n’aboutit pas et dans une trace réseau wireshark je vois des trames avec PROTOCOL TLSv1 (j’ai pourtant les mêmes chose pour ssl_min_protocol_version)

2. Depuis un serveur applicatif (probablement dans la même zone au niveau sécurité /parefeu) ou même en local je peux parfaitement faire du ssl sur le serveur 2 et la requête « SELECT datname, usename, ssl, version, cipher, bits FROM pg_stat_ssl JOIN pg_stat_activity USING (pid); » montre bien des connexions SSL en TLSv1.2 ou 1.3.

Je m’interroge sur ce qui cloche et excepté une tentative de TLSv1 qui est rejeté je ne comprends pas ce que je peux faire. Pour psql fait un coup du TLSv1.3 et un autre du TLSv1 alors que les 2 serveurs ont des clé / certificats établis par le même procédé / autorité et que les confs sont identiques ? Que puis-je vérifier de plus ? J’ai le même problème avec d’autres clients que psql (du code R avec sslmode = require ou bien encore un outil d’admin de PG).
Merci par avance à ceux / celles qui disposent des connaissances pour pouvoir m’aider.*
Alain.