Cài đặt bảo mật SSL IE9 và apache

8

Hiện tại tôi đang sử dụng Apache 2.2.3 và CentOS 5.4 cho các ứng dụng php của mình (php chạy trên 5.3.7) và ứng dụng đang chạy trên HTTPS và với chứng chỉ Root CA.

Vấn đề là chúng tôi đã gặp phải một số vấn đề kỳ lạ với IE9 (chỉ IE9). Khi trình duyệt IE9 gửi yêu cầu HTTPS đến máy chủ của chúng tôi, đôi khi không có phản hồi HTTPS. Điều tôi nhận thấy là IE9 sẽ làm mới trang. Để cụ thể hơn, trang được đề cập là một trang đăng nhập. Vì vậy, khi tôi nhập tên người dùng và mật khẩu và gửi biểu mẫu, nhưng không có phản hồi và IE9 có vẻ như tải lại cùng một trang đăng nhập. (với tên người dùng và mật khẩu trống)

Khi truy tìm từ cấp ứng dụng, tôi nhận thấy tôi đã nhận được tên người dùng và mật khẩu và ứng dụng đã kết thúc mà không có lỗi.

Đau đầu chính là nó không thể được sao chép mỗi lần. Đôi khi chúng ta có thể đăng nhập mà không có bất kỳ vấn đề nào, nhưng đôi khi nó sẽ có vấn đề được đề cập ở trên.

Bây giờ công ty chúng tôi có đội mạng, nhà phát triển và các đội khác. Apache của chúng tôi đang chạy dưới một bộ cân bằng tải. Các nhà mạng tuyên bố rằng họ không bao giờ thay đổi bất kỳ cài đặt nào, thay đổi duy nhất là ứng dụng của chúng tôi. Nhưng theo quan điểm của các nhà phát triển, các thay đổi không liên quan gì đến quá trình đăng nhập.

Theo quan điểm của tôi, có vẻ như một khi người dùng nhấp vào gửi và ứng dụng (apache) đã làm những gì nó làm bằng cách gửi HTML (Phản hồi HTTPS), nhưng HTML bằng cách nào đó đã biến mất một cách kỳ diệu trong mạng. Tôi nghi ngờ có gì đó để làm với kết nối vẫn còn sống? Có lẽ tác nhân trình duyệt IE9 xử lý nó khác nhau, và bằng cách nào đó, nó cho rằng kết nối không thành công và tải lại trang để thử lại?

Nhưng dù sao đi nữa, tôi đã nhận thấy các cài đặt sau trong kết nối SSL cho SSL:

ĐặtEnv If Tác nhân người dùng ". MSIE. " \ Nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-respons-1.0

Không chắc chắn làm thế nào chúng ta có thể thiết lập theo cách loại trừ IE9 trở lên? Khi tôi thực hiện tìm kiếm, các cài đặt ở trên là để khắc phục một số vấn đề tồn tại lâu dài khi IE đang kết nối với Apache. Nhưng vì IE9 khá mới nên có lẽ vấn đề đã được khắc phục và chúng tôi cần cập nhật cài đặt?

Hy vọng ai đó có thể làm sáng tỏ điều này ..

apache-2.2  ssl  internet-explorer-9 
rừng
nguồn
forestclown
blogs.msdn.com/b/ieinternals/archive/2011/03/26/... Tìm thấy liên kết này, mà gợi ý để thực hiện thay đổi để BrowserMatch "* MSIE [2-5] \ .. *" \ nokeepalive ssl-ô uế -shutdown \ downgrade-1.0 force-respons-1.0 nhưng sẽ cần thời gian để kiểm tra. Trong khi đó, không chắc ai đó cũng gặp phải vấn đề tương tự, và họ làm gì để giải quyết nó ..
Forestclown
Điều gì khiến bạn nghi ngờ rằng việc giữ sống có liên quan? Bạn có thể thực hiện chụp trên lưu lượng mạng để xác nhận không?
Shane Madden
Đây chỉ là một phỏng đoán hoang dã bởi vì nó chỉ xảy ra trong IE9 và hiện tại liên quan đến thiết lập apache, đó là thiết lập duy nhất tôi nhận thấy có một cái gì đó đặc biệt đối với IE ...
Forestclown
Bạn đã bao giờ giải quyết điều này? Giải pháp là gì?

Câu trả lời:

3

Rất có thể thiết lập máy chủ / mạng có vấn đề ở đâu đó và không phải do bất kỳ yêu cầu IE9 nào gây ra.

Trước hết hãy loại bỏ cấu hình IE6 cổ xưa: SetEnvIf User-Agent ".MSIE." \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0và chỉ cần thử chạy với tất cả (dưới mọi hình thức). Trừ khi bạn cần hỗ trợ IE5 mà tôi nghi ngờ bạn làm trong trường hợp nào bạn đúng để thay đổi regex thànhMSIE [2-5]

Cân bằng tải và không có khả năng giữ lại có thể là vấn đề. Tôi sẽ rất nghi ngờ về bộ cân bằng tải và kiểm tra chính xác những gì đang xảy ra ở đó trước.

Bộ cân bằng tải thường sẽ 'cân bằng tải' giữa hai hoặc nhiều địa chỉ IP (bên trong hoặc bên ngoài, điều này không quan trọng tại thời điểm này).

Sau đó, không có kết nối giữa các yêu cầu, máy tính / trình duyệt của khách hàng sẽ phải thực hiện đàm phán SSL cho mọi yêu cầu. Kết hợp điều này với các cài đặt chậm và thời gian chờ thấp và chúng tôi có thể nhận được các sự cố không khớp chứng nhận SSL và IE có thể sẽ được bảo lãnh vì thiết lập bảo mật nghiêm ngặt. Tôi đã không điều tra chính xác nếu IE9 chỉ có đặc điểm này. Tôi sẽ nghi ngờ các trình duyệt khác cũng làm điều này và đối phó với nó khác nhau.

Nếu bạn đang sử dụng SSL, bạn nên bật KeepAlive vì nó sẽ giúp trang web nhanh hơn nhiều và không phải thông qua đàm phán SSL nhiều lần vì vậy không thành công vì bộ cân bằng tải không giữ phiên trên cùng một máy chủ trong suốt vòng đời của khách truy cập .

Nếu ứng dụng của bạn là nội bộ (trên mạng nội bộ), bộ cân bằng tải của bạn sẽ nhảy ngẫu nhiên các địa chỉ IP trên bạn và SSL cần nó giống nhau trên mỗi kết nối.

Nếu nó không phải trên mạng nội bộ thì điều tương tự cũng có thể đúng, tôi không biết mạng của bạn được thiết lập như thế nào nhưng bạn nên kiểm tra trước. Vô hiệu hóa bộ cân bằng tải và xem nếu vấn đề tồn tại. và chắc chắn đặt tiếp tục sống.

http://httpd.apache.org/docs/2.2/mod/core.html#keepalive

Tôi cũng sẽ kiểm tra xem bạn có thiết lập dns ngược không. Nếu nó đang trỏ đến bộ cân bằng tải hoặc máy chủ đằng sau bộ cân bằng tải hay không.

Kiểm tra kết nối của bạn và phân tích các tiêu đề của bạn, nếu bên ngoài sử dụng một cái gì đó như redbot.org hoặc webpagetest.org để kiểm tra những tiêu đề nào được gửi đi. Ngoài ra, bạn có thể sử dụng một cái gì đó như fiddler

Anthony Hatzopoulos
nguồn
1
ssl-unclean-shutdown vẫn được yêu cầu cho IE> = 6 alexmeyer.com/linux/apachekeepalive.html
user2299634
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.