Re: problem connection ssl.

Bonjour Alain et bonne année à tous,

Est-ce qu'il pourrait y avoir un élément réseau entre le poste de test et
le serveur qui ne laisse pas passer les protocoles TLS plus récents (comme
un firewall ou un load-balancer)?

Thomas

Le lun. 8 janv. 2024 à 17:26, Alain Benard <alain(dot)benard(at)inrae(dot)fr> a écrit :

> Bonjour à tous et meilleurs vœux,
>
> Je bute sur un problème de connection en ssl avec le cas suivant :
>
> 1. Je dispose d’un poste avec psql (version 15.x) et j’essaie depuis
> ce même poste de me connecter en ssl vers 2 serveurs postgresql 15 qui
> m’ont vraiment l’air d’être configurés de la même façon. (ssl = on ,
> certificat et clé ok …)
>
> a. La connexion vers le serveur 1 aboutit et dans une trace réseau
> wireshark je vois des trames avec PROTOCOL TLSv1.3
>
> b. La connexion vers le serveur 2 n’aboutit pas et dans une trace
> réseau wireshark je vois des trames avec PROTOCOL TLSv1 (j’ai pourtant les
> mêmes chose pour ssl_min_protocol_version)
>
> 2. Depuis un serveur applicatif (probablement dans la même zone au
> niveau sécurité /parefeu) ou même en local je peux parfaitement faire du
> ssl sur le serveur 2 et la requête « SELECT datname, usename, ssl, version,
> cipher, bits FROM pg_stat_ssl JOIN pg_stat_activity USING (pid); » montre
> bien des connexions SSL en TLSv1.2 ou 1.3.
>
>
>
> Je m’interroge sur ce qui cloche et excepté une tentative de TLSv1 qui est
> rejeté je ne comprends pas ce que je peux faire. Pour psql fait un coup du
> TLSv1.3 et un autre du TLSv1 alors que les 2 serveurs ont des clé /
> certificats établis par le même procédé / autorité et que les confs sont
> identiques ? Que puis-je vérifier de plus ? J’ai le même problème avec
> d’autres clients que psql (du code R avec sslmode = require ou bien encore
> un outil d’admin de PG).
>
> Merci par avance à ceux / celles qui disposent des connaissances pour
> pouvoir m’aider.*
>
> Alain.
>