Диспетчер трафика Azure показывает "В сети" для проверки TCP/443, но "Ухудшение состояния" для проверки HTTPS/443

У меня есть диспетчер трафика Azure, настроенный для мониторинга некоторых служб HTTPS, доступных через общедоступные IP-адреса.

Когда я устанавливаю для проверки работоспособности значение TCP/443, проверка работает нормально, а конечная точка показывает «В сети».

Когда я устанавливаю HTTPS-проверку на порт 443 на /images/favicon.ico с соответствующими заголовками host: и user-agent:, которые, как я подтвердил, работают с curl-k через командную строку, и даже устанавливаю разрешенные коды возврата HTTP на 100- 599, зонд по-прежнему показывает Degraded.

Мне интересно, связано ли это с тем, что мы используем высоконадежный набор шифров SSL (рейтинг A+ на qualys SSL Checker) и разрешаем только TLS 1.2+, а мониторы диспетчера трафика azure сбивают SSL-подтверждение?

Есть ли способ проверить это?

На нашем веб-сайте разрешены следующие шифры:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (экв. 3072 бит RSA) ФС
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (экв. 3072 бит RSA) ФС

И снова мы разрешаем только TLS 1.2.

Редактировать: Наш сервер обслуживает сертификат SNI. Предположительно, они «не поддерживаются», а не просто «не проверены». Это то, что нарушает проверку работоспособности HTTPS?

https://docs.microsoft.com/en-us/azure/traffic-manager/traffic-manager-faqs#can-i-monitor-https-конечные точки

Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
В предыдущей статье мы завершили установку базы данных, для тех, кто не знает.
Как установить LAMP Stack 1/2 на Azure Linux VM
Как установить LAMP Stack 1/2 на Azure Linux VM
В дополнение к нашему предыдущему сообщению о намерении Azure прекратить поддержку Azure Database для MySQL в качестве единого сервера после 16...
0
4
246
1

Ответы 1

Я бы посоветовал вам сделать захват пакета на виртуальной машине, проследить за диалогом TLS и проверить, где он терпит неудачу. Также вы можете проверить, какую версию TLS использовал TM для проверки вашей виртуальной машины.

Я думаю, что в TLS происходит сбой, и, следовательно, вы не получаете код состояния с сервера.

Другие вопросы по теме