Почему Internet Explorer 11 не может подключиться к сайтам HTTPS, когда включен TLS 1.2?

15

Обычно я вообще не использую Internet Explorer. Я использую его только во время разработки для тестов интерфейса (машина разработки и с незашифрованным http). Каждую неделю я запускаю тест сервера SSL Labs, который говорит, что IE11 может получить доступ к моим сайтам.

Сегодня я обнаружил проблему с одним из моих сторонних сервисов. Некоторые специальные функции не работают с Chrome или Firefox, поэтому я запустил IE11 на своем компьютере с Windows 7. И IE11 показывает мне встроенную страницу с ошибкой, которая в основном говорит: «Страница не может быть показана». А типичный дурачок бла бла вроде проверяет DNS и тд. На всей странице ошибок не было абсолютно никаких признаков проблемы, связанной с шифрованием (как это сделал бы обычный браузер).

Еще пару месяцев назад возникла эта schannelпроблема, которая не позволяет IE с поддержкой TLS1.2 получать доступ к HTTPS-сайтам. С этого момента мой «контрольный список WTF для IE» содержит «отключить TLS1.2» в качестве контрольной точки. И что я должен сказать ... отключение TLS1.2 в IE сработало, и мой сайт снова доступен . Но я не могу сделать это в браузерах моих посетителей.

Теперь к реальным вопросам: почему Internet Explorer 11 не может подключиться к моему HTTPS-сайту, когда TLS 1.2 включен в IE? И как это исправить на стороне сервера? SSL Labs сообщает, что на моем сайте все хорошо .

Важное редактирование: кажется, что IE11 может обрабатывать только домен без префикса, а не домены с префиксом, когда включен TLS1.2. домен без префикса (www) работает, а домен с префиксом (www) не работает .

На стороне сервера я использую debian / 7 nginx / 1.7.8 openssl / 1.0.1e

Доступные шифры: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

nginx  ssl  openssl  internet-explorer  tls 
burnersk
источник
3
Я могу быть связан или нет: ваш сертификат имеет дубликаты записей SAN для ssl.dev5media.de. Может быть, IE11 про это кричит? Кроме того, CN является ssl.dev5media.de, то есть имеет префикс ssl, а не префикс, как вы описали.
Штеффен Ульрих
Спасибо за указание на это, @SteffenUllrich. CN был без префикса до моей последней ротации сертификатов пару недель назад. Я удалю часть CN в вопросе. Но в любом случае ... это работает, когда TLS1.2 отключен. Разве проверка сертификата не должна осуществляться в общей библиотеке, а не в реализациях метода шифрования (TLS1.0, TLS1.1, TLS1.2)?
Burnersk
1
У www.dev5media.deменя сайт работает на IE11, Win7 с TLS 1.2 и шифром TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 согласно перехвату пакета. Какую операционную систему вы используете и можете ли вы захватить пакет для рабочего и нерабочего имени, чтобы увидеть разницу?
Штеффен Ульрих
@SteffenUllrich: Я не эксперт по Wireshark, но я похоже, что рукопожатие www.dev5media.de (с TLS_DHE_RSA_WITH_AES_128_GCM_SHA256) выполнено успешно. Но после Server Hello Doneэтого нет связи от клиента к серверу.
Burnersk
2
Кстати, я попытался с IE11 (11.0.9600.17690) на Windows 8.1 и получил общую ошибку «Эта страница не может быть отображена» для обоих https://dev5media.de/и https://www.dev5media.de/, так или иначе, я получил более последовательный результат.
Хокан Линдквист

Ответы:

5

У вас также включен SSL 2.0?

Согласно http://support.microsoft.com/en-us/kb/2851628 «SSL 2.0 и TLS 1.2 не совместимы друг с другом в Windows 7 и более поздних операционных системах. Чтобы использовать сертификаты на стороне клиента для установления соединения HTTPS через TLS 1.2 необходимо отключить SSL 2.0 ".

Джон Болл
источник
3

Сегодня столкнулся с этой проблемой с IE11 на Win 7 (полностью обновленный с важными обновлениями, но не дополнительными), при использовании пакета промежуточных программ Mozilla , который отлично работает с IE8 на XP и должен работать с IE7 +. Думал, что я опубликую здесь, эта проблема не появляется больше на Google.

Потратил некоторое время с wireshark, выясняя минимальные изменения, необходимые для его работы. Отказ от ответственности: я не эксперт по крипто, может быть лучший способ сделать это. Но это никак не изменило мой рейтинг ssllabs.com.

Переместите ECDHE-RSA-AES128-SHA256 (первый, который работает для IE11) выше kEDH + AESGCM и DHE-RSA-AES128-GCM-SHA256 для промежуточного набора, в результате чего:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
Арон-BRU
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.