Windows 7 y TLS 1.2

[ermendalenda]

Cita:

Empezado por emailesc

Al menos en Windows Server 2012 no va a funcionar con Verifactu y la verificación de CIF/NIF, el motor Schannel no implementa AES-GCM (ni el set moderno de suites ECDHE+GCM), que son los que pide hacienda porque son muy especialitos. Puedes ordenar o quitar/poner cipher suites en el Registro, pero no puedes “instalar” algoritmos que el sistema no trae en la DLL. Por eso, aunque añadas TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, el cliente seguirá sin poder negociarla: Schannel la ignora porque no existe en 2012. Puedes instalar tls.1.2 y comunicar con cualquiera, pero no con hacienda que exige un algoritmo más moderno.

Con curl.exe y con el curl de php funciona hasta en windows xp, sin tantos requisitos.

[ermendalenda]

Ok, acabo de buscar información de por que funciona en curl.exe, por que me habia acojonado, yo uso una versión de curl de hace unos años, que va en todas las versiones de windows desde XP y en Win32 y Win64 , podeis comprobar si vais a tener problemas, con el curl que teneis, ahora o en el futuro, supongo que si ahora no teneis problemas en el futuro tampoco, no creo que este aceptando conexiones que no sean a partir de de TSLv1.3, como comenta el compañero.
Para verificarlo he hecho lo siguiente, escribir desde la linea de comandos:
curl.exe -V
Me devuelve lo siguiente:

Cita:

curl 7.78.0 (i386-pc-win32) libcurl/7.78.0 OpenSSL/1.1.1k (Schannel) zlib/1.2.11
brotli/1.0.9 zstd/1.5.0 libidn2/2.3.2 libssh2/1.9.0 nghttp2/1.44.0 libgsasl/1.1
0.0
Release-Date: 2021-07-21

para saber si el curl se conecta correctamente a traves de la conexion TSL 1.3 o superior podeis ejecutar lo siguiente:
curl -v https://www2.agenciatributaria.gob.es
y devuelve ésto:

Cita:

* Trying xxxxxx():443...
* Connected to www2.agenciatributaria.gob.es (XXX.XX.XX.XX) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: Path...\curl-ca-bundle.crt
* CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_128_GCM_SHA256 (Si os devuelve algo así o superior a TLSV1.3, perfecto)
* ALPN, server did not agree to a protocol (Esto no es nada grave)

¿Por qué funciona ésto desde windows XP, cuando windows xp solo llega a TSLv1.0?


Pues por que curl.exe está compilado con soporte dual: si el Sistema Operativo no tiene el soporte que necesita para la conexión Openssl, de esa compilación curl, toma el control y usa su cifrado, pasando del Sistema operativo. Y oye, funciona perfectamente con AES-GCM y OPENSSL(no Schannel)
Jeje. Lo mejor de los 2 mundos:
XP Viejo con seguridad 2025


BUFF Que alivio

[Casimiro Noteví]

[josejava]

Yo lo que he hecho es que un ordenador encendido las 24 horas en mi casa reciba las facturas de las tiendas y desde mi casa las envíe directamente a la AEAT.

Así me quito dolores de cabeza de que si el cliente tiene windows XP o tiene un móvil.

Y si hay algún error me entero antes que nadie.

[ermendalenda]

Cita:

Empezado por josejava

Yo lo que he hecho es que un ordenador encendido las 24 horas en mi casa reciba las facturas de las tiendas y desde mi casa las envíe directamente a la AEAT.

Así me quito dolores de cabeza de que si el cliente tiene windows XP o tiene un móvil.

Y si hay algún error me entero antes que nadie.

Buena idea, pero para disitintos OT, me obliga a tenrr todos los certificados o hacerme colaborador social,.
Tendras u a buena instalacion con SAI, doble conexion de internet con un multplexor o al menos un backup de internet y 2 entradas por si falla una...no? O te la juegas todo a una?
Al menos considera que los datos se suban a un cloud seguro vigilado 24×365 y desee ahi lo rescatas y subes

[emailesc]

Cita:

Empezado por ermendalenda

Ok, acabo de buscar información de por que funciona en curl.exe, por que me habia acojonado, yo uso una versión de curl de hace unos años, que va en todas las versiones de windows desde XP y en Win32 y Win64 , podeis comprobar si vais a tener problemas, con el curl que teneis, ahora o en el futuro, supongo que si ahora no teneis problemas en el futuro tampoco, no creo que este aceptando conexiones que no sean a partir de de TSLv1.3, como comenta el compañero.
Para verificarlo he hecho lo siguiente, escribir desde la linea de comandos:
curl.exe -V
Me devuelve lo siguiente:


para saber si el curl se conecta correctamente a traves de la conexion TSL 1.3 o superior podeis ejecutar lo siguiente:
curl -v https://www2.agenciatributaria.gob.es
y devuelve ésto:



¿Por qué funciona ésto desde windows XP, cuando windows xp solo llega a TSLv1.0?


Pues por que curl.exe está compilado con soporte dual: si el Sistema Operativo no tiene el soporte que necesita para la conexión Openssl, de esa compilación curl, toma el control y usa su cifrado, pasando del Sistema operativo. Y oye, funciona perfectamente con AES-GCM y OPENSSL(no Schannel)
Jeje. Lo mejor de los 2 mundos:
XP Viejo con seguridad 2025


BUFF Que alivio

Sí, es cierto lo que dices. No obstante creo que esta configuración no accede a los certificados del almacén de certificados del equipo, los tienes que tener como archivo, ¿no?. Si es un equipo tuyo y controlado por ti puede ser una solución, pero para meterselo a un cliente por salvar el windows 7 yo no lo haría.

[ermendalenda]

Cita:

Empezado por emailesc

Sí, es cierto lo que dices. No obstante creo que esta configuración no accede a los certificados del almacén de certificados del equipo, los tienes que tener como archivo, ¿no?. Si es un equipo tuyo y controlado por ti puede ser una solución, pero para meterselo a un cliente por salvar el windows 7 yo no lo haría.

No, curl tiene opciones de obtener y usar los certificados de almacenes, es un poco tiquismiquis pero sabiendolo hacer se puede,

[emailesc]

Cita:

Empezado por ermendalenda

No, curl tiene opciones de obtener y usar los certificados de almacenes, es un poco tiquismiquis pero sabiendolo hacer se puede,

Por lo que yo he visto curl viene con dos compilaciones principales: curl + openssl y curl + schannel.
Curl + openssl no accede a los certificados del equipo, o al menos yo no he visto como hacerlo.
Curl + schannel sí accede a los certificados del equipo, pero no logra la conexión en Windows 7 CON HACIENDA (ojo, con hacienda, si con otros endpoints, y sí en las versiones posteriores de windows). La razón es que Hacienda envía al establecer la conexión un "ServerHello" con suites de cifrado TLS1.2 que Schannel en Windows 7 / 2012 no soporta, ni aunque tú las habilites desde el registro. Y a partir de aquí copy paste:

Cita:

En todas las conexiones a AEAT el servidor de Hacienda obliga a usar:
Ciphers modernos TLS1.2 basados en ECDHE-RSA + AES-GCM + SHA256

Ejemplos:

• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES256-GCM-SHA384

Además, el servidor pide:

• TLS1.2 como mínimo
• Intercambio de claves ECDHE moderno
• Firmas SHA256
• Curvas P-256 o P-384

¿Por qué Schannel fallaba aunque habilitases TLS1.2 y AES-GCM?


Porque tu Windows Server 2012 tiene estas limitaciones intrínsecas:
a) Implementación antigua de ECDHE en Schannel

→ No soporta las curvas o métodos modernos usados por la AEAT.
b) Matriz de cifrados de AES-GCM incompleta

→ Aunque aparezcan como “habilitados”, Schannel no implementa completamente los suites ECDHE-RSA-AES256-GCM-SHA384 ni ECDHE-RSA-AES128-GCM-SHA256.
c) Schannel NO permite usar --ciphers en curl

→ Las opciones de curl no pueden forzar nada.
Schannel decide por sí mismo la lista de suites aplicables.

Yo lo estuve probando en un windows server 2012 y no fui capaz de hacerlo (aunque quizá otro sí sepa claro). En Windows server 2012 R2 tengo entendido que sí funciona porque ya tiene implementado estos métodos, aunque por ahora no lo he probado. La verdad no se como será en Windows 7, si alguna actualización final los habrá implementado o no.
Por cierto esta limitación no la hay en Ticketbai, son menos exigentes con los cifrados.

[ermendalenda]

Cita:

Empezado por emailesc

Sí, es cierto lo que dices. No obstante creo que esta configuración no accede a los certificados del almacén de certificados del equipo, los tienes que tener como archivo, ¿no?. Si es un equipo tuyo y controlado por ti puede ser una solución, pero para meterselo a un cliente por salvar el windows 7 yo no lo haría.

Sí accede al almacen de window xp, 7( 10, 11 no recuerdo si lo probé pero creo que igual, ya que el certificado es el mismo y se importan igual en todos estas versiones de windows)
Pero tiene su historia, me tuve que romper la cabeza un pelín, pero seguro que la versión chatgpt 0.1 en pre ya lo dice,
Cuando tenga un hueco lo busco, es cierto que fi almente yo lo hago por fichero por que lo controlo y para actualizarlos es mas rapido, existen parametroa de curl para que funcione, hay que tener en cuenta alguna cosita extra pero va bien

[emailesc]

Cita:

Empezado por ermendalenda

Sí accede al almacen de window xp, 7( 10, 11 no recuerdo si lo probé pero creo que igual, ya que el certificado es el mismo y se importan igual en todos estas versiones de windows)
Pero tiene su historia, me tuve que romper la cabeza un pelín, pero seguro que la versión chatgpt 0.1 en pre ya lo dice,
Cuando tenga un hueco lo busco, es cierto que fi almente yo lo hago por fichero por que lo controlo y para actualizarlos es mas rapido, existen parametroa de curl para que funcione, hay que tener en cuenta alguna cosita extra pero va bien

A ver si tu lo consigues: windows 7 o server 2012 (no R2), accediendo al almacén de certificados y conectando con Hacienda, por ejemplo para verificar un NIF, por ejemplo (ojo, que con otros si vas a poder conectar, pero hacienda son más tocapelotas, como no puede ser menos)

[ermendalenda]

Cita:

Empezado por emailesc

A ver si tu lo consigues: windows 7 o server 2012 (no R2), accediendo al almacén de certificados y conectando con Hacienda, por ejemplo para verificar un NIF, por ejemplo (ojo, que con otros si vas a poder conectar, pero hacienda son más tocapelotas, como no puede ser menos)

El truco estaba, si no recuerdo mal, es que habia que indicarle el certificado del almacen con alguna cadena incluida en el mismo que sea unica, y ... que mejor que el NIF del emisor o de reprrsentante que ademas lo puedes parametrizar, con lo cual hay que tener en cuenta que no puedes tener instalado certificados caducados y que sean solo los validos para evitar errores para que no te pille uno malo A ver si lo busco, es que las pruebas las hice rato 2021-2022

[emailesc]

Cita:

Empezado por ermendalenda

El truco estaba, si no recuerdo mal, es que habia que indicarle el certificado del almacen con alguna cadena incluida en el mismo que sea unica, y ... que mejor que el NIF del emisor o de reprrsentante que ademas lo puedes parametrizar, con lo cual hay que tener en cuenta que no puedes tener instalado cerrificados caducados y validos para evitar errores. A ver si lo busco, es que las pruebas las hice rato 2021-2022

Como veas, de todas formas con certificado en archivo funciona correctamente, así que tampoco merece la pena complicarse la vida, que es viernes y son las 22:26. YO me voy a cenar que ya es hora

[ermendalenda]

Por otro lado aqui teneis la traza importante de conexiin curl probados en XP, W7, W10 y W11:
Info: TLSv1.3 (IN),.TLS handshake, Server hello(2) Recv SSL data, 91 bytes (0×5b)
No, es para enseñaros que incluso con xp usa el tlsv1.3, pero funcionaria igual con certificadks de almacen

[emailesc]

Cita:

Empezado por ermendalenda

Por otro lado aqui teneis la traza importante de conexiin curl probados en XP, W7, W10 y W11:
Info: TLSv1.3 (IN),.TLS handshake, Server hello(2) Recv SSL data, 91 bytes (0×5b)

¿con Hacienda? ¿con certificado de almacén de certificados?