TLS 1.2 etkinleştirildiğinde Internet Explorer 11 neden HTTPS sitelerine bağlanamıyor?

15

Normalde hiç Internet Explorer kullanmıyorum. Sadece arayüz testlerinde (geliştirme makinesi ve şifrelenmemiş http ile) tasarım zamanında kullanıyorum. Her hafta IE11'in sitelerime erişebildiğini söyleyen SSL Labs sunucu testini çalıştırıyorum.

Bugün üçüncü taraf hizmetlerimden biriyle ilgili bir sorun keşfettim. Bazı özel işlevler Chrome veya Firefox ile çalışmıyor, bu yüzden Windows 7 makinemde IE11'i başlattım. Ve IE11 bana yerleşik bir hata sayfası cadı gösterir sadece temelde "sayfa gösterilemedi" diyor. Ve tipik kukla bla bla gibi DNS kontrol ve benzeri. Tüm hata sayfasında (normal tarayıcıda olduğu gibi) şifreleme ile ilgili bir sorunla ilgili kesinlikle hiçbir işaret yoktu.

Birkaç ay sonra, schannelTLS1.2 etkin IE'lerin HTTPS sitelerine erişmesini engelleyen bu sorun vardı. O andan itibaren "IE için WTF kontrol listem" bir kontrol noktası olarak "TLS1.2'yi devre dışı bırak" ı içeriyor. Ve ne demeliyim ... IE içinde TLS1.2'yi devre dışı bırakmak çalıştı ve sitem tekrar kullanılabilir . Ancak bunu ziyaretçilerimin tarayıcılarında yapamam.

Şimdi gerçek sorulara: IE'de TLS 1.2 etkinleştirildiğinde neden Internet Explorer 11 HTTPS siteme bağlanamıyor ? Ve sunucu tarafında nasıl düzeltilir? SSL Labs, sitemdeki her şeyin yolunda olduğunu söylüyor .

Önemsiz Düzenleme: Görünüşe göre TLS1.2 etkinleştirildiğinde IE11, önek olmayan etki alanını işleyebilir, öneksiz etki alanlarını işleyemez. (www) öneki olmayan alan çalışır , önek (www) içeren alan adı çalışmaz .

Sunucu tarafında debian / 7 nginx / 1.7.8 openssl / 1.0.1e kullanıyorum

Mevcut şifreler: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

nginx  ssl  openssl  internet-explorer  tls 
burnersk
kaynak
3
İlişkili olabilirim ya da olmayabilirim: sertifikanız ssl.dev5media.de için yinelenen SAN girişlerine sahip. Belki IE11 bunu dolandırıyor? Bunun dışında CN ssl.dev5media.de, yani açıkladığınız gibi ssl önekine sahip değil.
Steffen Ullrich
Belirttiğiniz için teşekkürler, @SteffenUllrich. CN, birkaç hafta önce son sertifika rotasyonumdan önce öneksizdi. Sorudaki CN kısmını kaldıracağım. Ama yine de TLS1.2 devre dışı bırakıldığında ... o çalışıyor. Sertifika doğrulaması, şifreleme yöntemi uygulamaları (TLS1.0, TLS1.1, TLS1.2) içinde değil, paylaşılan bir kitaplıkta bulunmamalı mı?
burnersk
1
Site www.dev5media.debenim için IE11, Win7'de TLS 1.2 ve şifre TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ile bir paket yakalamaya göre çalışıyor. Hangi işletim sistemini kullanıyorsunuz ve farkı görmek için hem çalışan hem de çalışmayan ad için bir paket yakalama yapabilir misiniz?
Steffen Ullrich
@SteffenUllrich: Ben bir Wireshark uzmanı değilim ama www.dev5media.de anlaşmasının TLS_DHE_RSA_WITH_AES_128_GCM_SHA256başarıyla yapıldığı anlaşılıyor . Ancak Server Hello Doneistemciden sunucuya hiçbir iletişim olmadığında.
burnersk
2
FWIW, ben Windows 8.1'de IE11 (11.0.9600.17690) ile çalıştı ve her ikisi için de genel "Bu sayfa görüntülenemiyor" hata var https://dev5media.de/ve https://www.dev5media.de/bu yüzden her nasılsa daha tutarlı bir sonuç aldık.
Håkan Lindqvist

Yanıtlar:

5

SSL 2.0'ı da etkinleştirdiniz mi?

Göre http://support.microsoft.com/en-us/kb/2851628 SSL" 2.0 ve TLS 1.2 Windows 7'de ve sonraki işletim sistemlerinde birbiriyle uyumlu değildir. HTTPS bağlantısı kurmak için istemci tarafı sertifikalarını kullanmak için TLS 1.2 üzerinden SSL 2.0'ı devre dışı bırakmalısınız ".

John Ball
kaynak
3

Win 7 üzerinde IE11 ile (bu önemli güncelleştirmelerle tamamen güncelleştirildi, ancak isteğe bağlı olanlar değil) IE11 ile bu sorunla karşılaştık , XP'de IE8 ile iyi çalışan ve IE7 + ile çalışması gerekiyordu Mozilla's Intermediate suite kullanıldığında . Burada yayınlayacağımı düşündüm, bu sorun Google'da başka bir şey ortaya çıkmıyor.

Wireshark'ın çalışması için gereken minimum değişikliği anlayarak biraz zaman geçirdim. Feragatname: Ben bir kripto uzmanı değilim, bunu yapmanın daha iyi bir yolu olabilir. Ama benim ssllabs.com puanımı hiç değiştirmedi.

Ortadaki paket için ECDHE-RSA-AES128-SHA256'yı (IE11 için çalışan ilk) kEDH + AESGCM ve DHE-RSA-AES128-GCM-SHA256'nın üstüne taşıyın ve bunun sonucunda:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
aaron-bru
kaynak
yanıtı kabul edilmiş olmalıdır. Listede ilk olmak için ECDHE-RSA-AES128-GCM-SHA256'yı hareket ettirmeniz yeterli. K8'lerde nginx-ingress'te aynı sorunu yaşadım ve cofigmap'de değiştim: ssl-ciphers: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA CHACHA20-POLY1305: ECDHE-ECDSA-AES128-GCM-SHA 256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA AES256-SHA384: ECDHE-ECDSA-AES128-SHA 256: ECDHE-RSA-AES128-SHA256 SSL protokolleri: TLSv1.3 TLSv1.2
denis111
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.