Tại sao Internet Explorer 11 không thể kết nối với các trang web HTTPS khi TLS 1.2 được bật?

15

Thông thường tôi không sử dụng Internet Explorer. Tôi chỉ sử dụng nó trong thời gian thiết kế để kiểm tra giao diện (máy phát triển và với http không được mã hóa). Mỗi tuần tôi chạy thử nghiệm máy chủ SSL Labs cho biết IE11 có thể truy cập các trang web của tôi.

Hôm nay tôi phát hiện ra một vấn đề với một trong các dịch vụ bên thứ 3 của tôi. Một số chức năng đặc biệt không hoạt động với Chrome hoặc Firefox nên tôi đã khởi chạy IE11 trên máy Windows 7 của mình. Và IE11 cho tôi thấy một phù thủy trang lỗi tích hợp về cơ bản chỉ nói rằng "trang không thể hiển thị". Và hình nộm bla bla điển hình như kiểm tra DNS và như vậy. Hoàn toàn không có dấu hiệu của một vấn đề liên quan đến mã hóa trên toàn bộ trang lỗi (như trình duyệt thông thường sẽ làm).

Một vài tháng trước, đã xảy ra sự cố này, điều này schannelngăn các TLS1.2 cho phép IE truy cập các trang web HTTPS. Từ thời điểm đó, "danh sách kiểm tra WTF cho IE" của tôi chứa "vô hiệu hóa TLS1.2" làm điểm kiểm tra. Và tôi nên nói gì ... vô hiệu hóa TLS1.2 trong IE đã hoạt động và trang web của tôi có sẵn một lần nữa . Nhưng tôi không thể làm điều này trên trình duyệt của khách truy cập.

Bây giờ đến câu hỏi thực tế: Tại sao Internet Explorer 11 không thể kết nối với trang web HTTPS của tôi khi TLS 1.2 được bật trong IE? Và làm thế nào để sửa nó trên phía máy chủ? SSL Labs đang nói rằng mọi thứ đều ổn trên trang web của tôi .

Chỉnh sửa Imporant: Dường như IE11 chỉ có thể xử lý miền không có tiền tố và không phải là miền có tiền tố khi TLS1.2 được bật. tên miền không có tiền tố (www) hoạt động trong khi tên miền bao gồm tiền tố (www) sẽ không hoạt động .

Về phía máy chủ, tôi đang sử dụng debian / 7 nginx / 1.7.8 openssl / 1.0.1e

Mật mã có sẵn là: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

nginx  ssl  openssl  internet-explorer  tls 
đầu đốt
nguồn
3
Tôi có thể có liên quan hoặc không: chứng chỉ của bạn có các mục SAN trùng lặp cho ssl.dev5media.de. Có lẽ IE11 quanh co về điều đó? Ngoài ra, CN là ssl.dev5media.de, tức là có tiền tố ssl và không có tiền tố như bạn mô tả.
Steffen Ullrich
Cảm ơn bạn đã chỉ ra rằng, @SteffenUllrich. CN đã không có tiền tố trước khi vòng quay chứng chỉ cuối cùng của tôi vài tuần trước. Tôi sẽ loại bỏ phần CN trong câu hỏi. Nhưng dù sao thì ... nó vẫn hoạt động khi TLS1.2 bị vô hiệu hóa. Không nên xác thực chứng chỉ trong một thư viện dùng chung và không nằm trong triển khai phương thức mã hóa (TLS1.0, TLS1.1, TLS1.2)?
burnersk 22/03/2015
1
Trang web www.dev5media.dehoạt động với tôi trên IE11, Win7 với TLS 1.2 và mật mã TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 theo một gói chụp. Bạn sử dụng hệ điều hành nào và bạn có thể thực hiện chụp gói cho cả tên làm việc và tên không hoạt động để thấy sự khác biệt không?
Steffen Ullrich
@SteffenUllrich: Tôi không phải là chuyên gia của Wireshark nhưng tôi có vẻ như bắt tay www.dev5media.de (với TLS_DHE_RSA_WITH_AES_128_GCM_SHA256) được thực hiện thành công. Nhưng sau khi Server Hello Donekhông có giao tiếp từ máy khách đến máy chủ.
burnersk 22/03/2015
2
Fwiw, tôi đã thử với IE11 (11.0.9600.17690) trên Windows 8.1 và nhận được lỗi "Trang này không thể hiển thị" chung cho cả hai https://dev5media.de/https://www.dev5media.de/vì vậy bằng cách nào đó tôi đã nhận được kết quả phù hợp hơn.
Håkan Lindqvist

Câu trả lời:

5

Bạn cũng đã bật SSL 2.0 chưa?

Theo http://support.microsoft.com/en-us/kb/2851628 "SSL 2.0 và TLS 1.2 không tương thích với nhau trong Windows 7 và các hệ điều hành mới hơn. Để sử dụng chứng chỉ phía máy khách để thiết lập kết nối HTTPS trên TLS 1.2, bạn phải tắt SSL 2.0 ".

Bóng John
nguồn
3

Gặp vấn đề này ngày hôm nay với IE11 trên Win 7 (được cập nhật đầy đủ với các bản cập nhật quan trọng, nhưng không phải là tùy chọn), khi sử dụng bộ Trung cấp của Mozilla , hoạt động tốt với IE8 trên XP và được cho là hoạt động với IE7 +. Tôi nghĩ rằng tôi đã đăng ở đây là vấn đề này không xuất hiện nhiều trên google.

Dành thời gian với wireshark để tìm ra sửa đổi tối thiểu cần thiết để làm cho nó hoạt động. Tuyên bố miễn trừ trách nhiệm: Tôi không phải là chuyên gia về tiền điện tử, có thể có một cách tốt hơn để làm điều này. Nhưng nó không thay đổi đánh giá ssllabs.com của tôi cả.

Di chuyển ECDHE-RSA-AES128-SHA256 (cái đầu tiên hoạt động cho IE11) lên trên kEDH + AESGCM và DHE-RSA-AES128-GCM-SHA256, cho bộ trung gian dẫn đến:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
aaron-bru
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.