Wir kennen inzwischen alle das grüne Schloss im Browser, wenn ein „sicheres“ https:// im Browser verwendet wird. Leider ist ein sicheres Zertifikat nicht immer auch ein Garant für einen sicheren Betrieb. Die eigentliche Implementierung des Zertifikats ist hier von entscheidender Bedeutung und wird oft vernachläßigt. Ein Qlik Sense Server wird aktuell immer auf einem Windows Server betrieben und nutzt die Konfiguration und Sicherheit des Betriebssystems bzw. die Parameter der SCHANNEL.DLL und die zugelassenen Chipher Suiten. In der Standard-Einstellung sind hier eine Reihe von Protokollen erlaubt, die man aus heutiger Sicht nicht mehr verwenden will. Das sind neben den Protokollen SSL v2, SSL v3, TLS 1.0 und TLS 1.1 auch Hashverfahren wie MD5. Welche Protokolle und Verfahren zur Anwendung kommen, wenn sich ein Web-Browser mit dem Qlik Sense Server verwendet, muss bei der Einrichtung und Konfiguration des Servers eingestellt und mit entsprechender Sorgfalt vorgenommen werden.
Microsoft hat dazu breits einen Artikel verfasst ( https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs ) in dem Beschrieben wird, wie z.B. die unerwünschten Protokolle abgeschaltet werden. In dem Artikel https://support.qlik.com/articles/Basic/Qlik-Sense-Ports-not-honoring-TLS-version-prior-to-April-2018?articleId=Qlik-Sense-Ports-not-honoring-TLS-version-prior-to-April-2018 hat jetzt Qlik beschrieben, dass genau die von Microsoft definierten Einstellungen verwendet werden (Schannel.dll), um die wünschenswerten Protokolle und Chipher Suiten zu nutzen. Das ist leider alles Handarbeit in der Windows Registrierung.
Auf https://www.nartac.com/Products/IISCrypto haben wir ein kleines Tool gefunden, mit dem die Einstellungen in einer übersichtlichen GUI vorgenommen werden können. Was die „richtigen“ Einstellungen sind können und wollen wir ihnen nicht vorschreiben. Es gibt aber verschiedene Seiten im Netz, die Empfehlungen für den Einsatz von Protokollen und Verfahren geben: z.B.:https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices.
Deshalb hier unser Hinweis: Denken Sie daran ihren Qlik- bzw. Windows Server richtig abzusichern nur ein SSL-Zertifikat einzuspielen reicht nicht aus!