APC Network Management Card (NMC) nicht erreichbar – SSL-Fehler

Bei dem Versuch über HTTPS auf das Webinterface einer APC Network Management Card (NMC1/NMC2) zuzugreifen, kann die Seite nicht angezeigt werden und eine SSL-Fehlermeldung angezeigt: ssl_error_no_cypher_overlap, ERR_SSL_VERSION_OR_CIPHER_MISMATCH oder ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION.
(abhängig vom verwendeten Browser)

Das Problem tritt in Umgebungen auf, in denen SSL 3.0 aufgrund der bestehenden Sicherheitsprobleme (z.B. POODLE) vom Administrator deaktiviert wurde, oder auch wenn eine neuere Browserversion verwendet wird, in der SSL bereits vom Hersteller aus inaktiv ist:

• Microsoft Internet Explorer – ab Version 11
• Mozilla Firefox – ab Version 34
• Google Chrome – ab Version 39

Da die APC Network Management Cards derzeit kein TLS unterstützen, wird auf SSL 3.0 ausgewichen und es kommt zum Fehler:

Im APC Technical Faq FA238115 findet sich eine Auflistung betroffener Produkte. Außerdem werden dort als Workaround folgende Wege vorgeschlagen:

• HTTP für den Zugriff auf das Webinterface nutzen:
  • NMC1: Administration -> Network -> Web Access –  Enable HTTP aktivieren
    
  • NMC2: Configuration -> Network -> Web -> Access  (kann parallel zu HTTPS aktiviert werden)
    
• Browser mit SSL 3.0-Unterstützung nutzen/SSL-Unterstützung aktivieren.
  (Bsp. Internet Explorer: Internetoptionen -> Erweitert -> Sicherheit SSL 3.0 verwenden)

  Nicht empfohlen / auf eigenes Risiko

• Die Verwaltung der NMC per SSH, SNMP oder lokaler Konsole durchführen.

Ein ähnliches Problem mit der NMC1 bezüglich der RSA-Schlüssellänge wird in dem APC Technical Faq FA162031 behandelt.

Links

• APC FA238115: UPDATED MARCH-2016: Unable to access my APC Network Management Card (NMC) enabled device via HTTPS (SSL/TLS)
• APC FA162031: Network Management Card 1 (NMC1) Information Bulletin: Effects of Microsoft Internet Explorer and other web browsers blocking key lengths less than 1024 bits
• Openssl – This POODLE Bites: Exploiting The SSL 3.0 Fallback