O Protocolo TLS 1.2 ja esta ativo por Default

[Antonio Carlos L]

Caros o protocolo TSL 1.2  já esta ativo por padrão ao termos a configuração abaixo ou é necessário mexer em algo no Internet Explorer

 

Falo na versão 3.10 também, não somente na 4.0.

 

Obrigado

Editado 29 Maio, 2018 por Antonio Carlos L

[BigWings]

Depende da configuração SSLHttpLib:

- httpCapicom e httpIndy: Depende de DLLs do Windows (W7/WS2008 ou posterior, precisa fazer as atualizações) e configurações avançadas do IE.

- httpWinHttp: Depende de DLLs do Windows (W7/WS2008 ou posterior, precisa fazer as atualizações) e da configuração SSLType do componente.

- httpOpenSSL: Depende apenas da configuração SSLType do componente, mas suporta apenas certificado A1. Usar DLLs OpenSSL de versão 1.0 ou superior.

[Antonio Carlos L]

@BigWingsobrigado pela resposta. 

Corrija-me se estiver errado, considerando não usar a OpenSSL

Se estiver dessa forma :  SSLCryptLib = cryWinCrypt , SSLHttpLib = httpWinHttp , SSLLib = libWinCrypt , SSLXmlSignLib = xsLibXml2 e SSLtype = LT_TSLv1_2 o protocolo TLS 1.2 esta habitado independente da configuração do Internet Explorer ?

Dessa forma os certificados A1 e A3 são reconhecidos ?

Editado 29 Maio, 2018 por Antonio Carlos L

[RickMao]

 httpWinHttp: Depende de DLLs do Windows (W7/WS2008 ou posterior, precisa fazer as atualizações) e da configuração SSLType do componente.

 

O que o colega quiz dizer que não necessita mexer no internet explorer essa sua configuração que vai enviar.

Verifique as DLL do OpenSSL e XMLSec.

de prefer~encia copie para o diretório do windows (sytem32 ou SysWOW64)

[BigWings]

53 minutos atrás, Antonio Carlos L disse:

Se estiver dessa forma :  SSLCryptLib = cryWinCrypt , SSLHttpLib = httpWinHttp , SSLLib = libWinCrypt , SSLXmlSignLib = xsLibXml2 e SSLtype = LT_TSLv1_2 o protocolo TLS 1.2 esta habitado independente da configuração do Internet Explorer ?

Correto, desde que as DLLs do Windows estejam com o suporte a TLS 1.2 atualizadas.

53 minutos atrás, Antonio Carlos L disse:

Dessa forma os certificados A1 e A3 são reconhecidos ?

Sim.

[Dércio Luis Zanatta]

5 minutos atrás, BigWings disse:

Correto, desde que as DLLs do Windows estejam com o suporte a TLS 1.2 atualizadas.

Sim.

Só para constar, se informar SSLtype=LT_all  o componente tentará enviar com a versão mais atualizada, caso não conseguir, tentará com a versão antiga, o que na minha opinião fica bem mais cômodo !

[Antonio Carlos L]

Obrigado @BigWings pela sua atenção, e @RickMao as atualizações que você se refere de dlls do SO seriam essa descrita em : https://support.microsoft.com/pt-br/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in  podendo ser obtidas em https://www.catalog.update.microsoft.com/search.aspx?q=kb3140245  ? A data dessa atualização é 14/06/2016 seria isso que se refere ?

[BigWings]

Agora, Antonio Carlos L disse:

Obrigado @BigWings pela sua atenção, e @RickMao as atualizações que você se refere de dlls do SO seriam essa descrita em : https://support.microsoft.com/pt-br/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in  podendo ser obtidas em https://www.catalog.update.microsoft.com/search.aspx?q=kb3140245  ? A data dessa atualização é 14/06/2016 seria isso que se refere ?

Não sei exatamente qual atualização... segundo relatos no fórum, foi necessário fazer TODAS as atualizações do Windows Update.

[Antonio Carlos L]

Obrigado @Dércio Luis Zanatta pela elucidação, eu tinha deixado assim antes, mas fiquei receoso de dar problema.

[Antonio Carlos L]

@BigWings você sabe se existe um teste a ser feito para saber se o SO reconhece o TSL 1.2 ou a unica forma é colocar o aplicativo em SSLtype=LT_TSLv1_2  e experimentar ?

Não sei se tem essa má experiência, mas não é raro o usuário dizer que todos os outros programas funcionam, ou quando eles costumam arrumar aquele técnico que resolve qualquer problema por R$20,00.

Obrigado mais uma vez.

[Dércio Luis Zanatta]

14 horas atrás, Antonio Carlos L disse:

@BigWings você sabe se existe um teste a ser feito para saber se o SO reconhece o TSL 1.2 ou a unica forma é colocar o aplicativo em SSLtype=LT_TSLv1_2  e experimentar ?

Não sei se tem essa má experiência, mas não é raro o usuário dizer que todos os outros programas funcionam, ou quando eles costumam arrumar aquele técnico que resolve qualquer problema por R$20,00.

Obrigado mais uma vez.

Bom dia

O fato é que a SEFAZ tem que aceitar receber com protocolo TLS inferior a 1.2 até a desativação da Nfe3.10. Sendo assim, a única forma de saber se o SO é compatível ou não é mesmo configurar o SSLType=LT_TSLv1_2 e realizar uma consulta de status serviço. Se configurar como LT_all, o componente vai tentar enviar com 1.2, se não conseguir vai enviar com o antigo e vai ter sucesso, porém quando a versão 3.10 for desativada não vai mais conseguir  (Teoricamente).

Pessoalmente eu estou usando o SSlType como LT_all e fiz um aplicativo de testes que faz a consulta do Status Serviço com LT_TSLv1_2 para mostrar ao cliente quais as máquinas que tem que atualizar o SO.

 

[Antonio Carlos L]

Pessoal achei esse site que testa se o seu navegador tem suporte a TLS 1.2 e outros testes https://www.ssllabs.com/ssltest/viewMyClient.html

[brsamn]

Boa tarde.

Vi algumas orientações que é recomendado deixar a propriedade SSLType como LT_all, mas por algum motivo sempre que coloco ela me retorna o seguinte erro:

Quando deixo como LT_TLSv1_2 funciona normalmente.

No site que o amigo passou, pra testar o suporte ao TLS, todos os protocolos estão válidos:

Alguém já passou por isso?

Obrigado.

[Dércio Luis Zanatta]

7 minutos atrás, brsamn disse:

Boa tarde.

Vi algumas orientações que é recomendado deixar a propriedade SSLType como LT_all, mas por algum motivo sempre que coloco ela me retorna o seguinte erro:

Quando deixo como LT_TLSv1_2 funciona normalmente.

No site que o amigo passou, pra testar o suporte ao TLS, todos os protocolos estão válidos:

Alguém já passou por isso?

Obrigado.

        ACBrNFe1.Configuracoes.geral.SSLLib:=libWinCrypt ;
        ACBrNFe1.Configuracoes.geral.SSLCryptLib :=cryWinCrypt ;
        ACBrNFe1.Configuracoes.geral.SSLHttpLib := httpWinHttp ;
        ACBrNFe1.Configuracoes.geral.SSLXmlSignLib := xsLibXML2 ;

COM  SSLType como LT_all deveria funcionar normalmente com essas configurações, pois LT_all significa que vai tentar enviar com o protocolo mais atualizado e caso não conseguir, vai enviar com as versões anteriores.

[brsamn]

3 minutos atrás, Dércio Luis Zanatta disse:

        ACBrNFe1.Configuracoes.geral.SSLLib:=libWinCrypt ;
        ACBrNFe1.Configuracoes.geral.SSLCryptLib :=cryWinCrypt ;
        ACBrNFe1.Configuracoes.geral.SSLHttpLib := httpWinHttp ;
        ACBrNFe1.Configuracoes.geral.SSLXmlSignLib := xsLibXML2 ;

COM  SSLType como LT_all deveria funcionar normalmente com essas configurações, pois LT_all significa que vai tentar enviar com o protocolo mais atualizado e caso não conseguir, vai enviar com as versões anteriores.

Sim. As configurações do ACBrNFe1.Configuracoes.geral que uso são essas que passou mesmo, só o SSLType como LT_all que não estou entendendo o que está dando problema.

[Dércio Luis Zanatta]

3 minutos atrás, brsamn disse:

Sim. As configurações do ACBrNFe1.Configuracoes.geral que uso são essas que passou mesmo, só o SSLType como LT_all que não estou entendendo o que está dando problema.

Vc está com todos os fontes do ACBr atualizados ??  As dlls e Schemas também ?  

Outra coisa...  Qual a UF do emitente ? Da a entender que a SEFAZ dessa UF não está aceitando com protocolo inferior a 1.2, teoricamente deveria aceitar até 01/07/2018.

De qualquer forma, com LT_all o coponente deveria estar enviando automaticamente com 1.2..

Editado 5 Junho, 2018 por Dércio Luis Zanatta

[brsamn]

3 minutos atrás, Dércio Luis Zanatta disse:

Vc está com todos os fontes do ACBr atualizados ??  As dlls e Schemas também ?  

Sim, tudo atualizado.

[Dércio Luis Zanatta]

Agora, brsamn disse:

Sim, tudo atualizado.

Realmente muito estranho, pois aqui pra mim funciona perfeitamente...  Talvez os gurus ai tenham alguma outra idéia do que pode estar errado !

 

[Antonio Carlos L]

@brsamn qual sob qual  SO que esta efetuando os testes ?

[André Ferreira de Moraes]

16 horas atrás, brsamn disse:

Boa tarde.

Vi algumas orientações que é recomendado deixar a propriedade SSLType como LT_all, mas por algum motivo sempre que coloco ela me retorna o seguinte erro:

Atualize seus fontes, recompile os pacotes do ACBr e teste novamente com LT_ALL

[Dércio Luis Zanatta]

15 horas atrás, brsamn disse:

Sim, tudo atualizado.

Bom dia..

De qual UF é o emitente ??  Li em outro post recente que o estado de MG está com problemas quanto a isso !

[brsamn]

23 minutos atrás, Antonio Carlos L disse:

@brsamn qual sob qual  SO que esta efetuando os testes ?

Windows 7

16 minutos atrás, André Ferreira de Moraes disse:

Atualize seus fontes, recompile os pacotes do ACBr e teste novamente com LT_ALL

Fiz isso há poucos dias, mas vou fazer de novo pra testar

14 minutos atrás, Dércio Luis Zanatta disse:

Bom dia..

De qual UF é o emitente ??  Li em outro post recente que o estado de MG está com problemas quanto a isso !

São Paulo

[André Ferreira de Moraes]

Agora, brsamn disse:

Fiz isso há poucos dias, mas vou fazer de novo pra testar

Fiz uma correção essa noite.

[Antonio Carlos L]

@brsamn o windows 7 deve estar com TODAS as atualizações de segurança efetuada, sem ter sido puladas ou canceladas, experimenta fazer o teste usando o W10 por exemplo e veja o comportamento

[brsamn]

25 minutos atrás, André Ferreira de Moraes disse:

Fiz uma correção essa noite.

Bom dia. Atualizei aqui mas o erro segue.

Edit: Desculpe, na verdade o erro mudou.

Editado 6 Junho, 2018 por brsamn