Internet Explorer ไม่สามารถแสดงหน้าจาก apache ด้วย SSL โฮสต์เสมือนเดียว

ฉันมีคำถามที่เกิดขึ้นในคำถามที่แตกต่างกัน แต่ฉันยังหาวิธีแก้ปัญหาไม่ได้

ปัญหาของฉันคือฉันกำลังโฮสต์ไซต์บน apache 2.4 บนเดเบียนด้วย SSL และ Internet Explorer 7 บน windows xp แสดง

Internet Explorer cannot display the webpage

ฉันมีโฮสต์เสมือนเดียวเท่านั้นที่ใช้ ssl แต่โฮสต์เสมือนที่ต่างกันซึ่งใช้ http นี่คือการกำหนดค่าของฉันสำหรับเว็บไซต์ที่เปิดใช้งาน SSL (etc / sites-avaible / default-ssl ไม่ได้เชื่อมโยง)

<Virtualhost xx.yyy.86.193:443>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
  Alias /files "/var/local/www/my-certified-domain.de/current/files"

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  <Directory "/var/local/www/my-certified-domain.de/current/www">
    AllowOverride All
  </Directory>

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
  SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
  SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

  SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca

  BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>

<VirtualHost *:80>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>

พอร์ตของฉัน. ดูเหมือนว่านี้:

NameVirtualHost *:80
Listen 80

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

<IfModule mod_gnutls.c>
    Listen 443
</IfModule>

ผลลัพธ์จากการapache2ctl -Sเป็นเช่นนี้:

xx.yyy.86.193:443      www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80                   is a NameVirtualHost
         default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
         port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
         port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)

ฉันรวมวิธีแก้ปัญหาสำหรับคำถามนี้: Internet explorer ไม่สามารถแสดงหน้าเบราว์เซอร์อื่น ๆ สามารถอาจเกิดข้อผิดพลาด htaccess / เซิร์ฟเวอร์

และฉันเข้าใจคำตอบจากคำถามนี้:

วิธีการตั้งค่า Apache NameVirtualHost บน SSL?

ใน fakt: ฉันมีใบรับรอง SSL เพียงหนึ่งรายการสำหรับโดเมน และฉันต้องการเรียกใช้โฮสต์เสมือนหนึ่งรายการด้วย ssl เท่านั้น ดังนั้นฉันแค่ต้องการใช้หนึ่ง IP สำหรับโฮสต์เสมือน ssl แต่ยังคง (หลังจากรีบูต / รีสตาร์ท / ทดสอบ) Internet Explorer จะยังคงไม่แสดงหน้า

เมื่อฉันบุกรุก apachectl -S เช่นกันฉันมีโฮสต์ SSL เพียงโฮสต์เดียวและสิ่งนี้ควรตอบสนองต่อการจับมือ SSH เริ่มต้นใช่หรือไม่

มีอะไรผิดปกติในการตั้งค่านี้?

ขอบคุณมาก Philipp

อัปเดต: ใช้งานได้กับเบราว์เซอร์อื่น ๆ ทั้งหมด ฉันทำการดีบั๊กด้วย wireshark และเซิร์ฟเวอร์ส่งการแจ้งเตือนไปยังแจ้งว่าการเชื่อมต่อถูกปิด แต่ฉันไม่เห็นปัญหาในบันทึก

apache-2.2 ssl internet-explorer

— pscheit
แหล่งที่มา

ดังนั้นสิ่งที่บันทึกไว้ในบันทึกของเซิร์ฟเวอร์? Also..ṡeriously? IE บน XP กำลังจะล้มเหลวเพิ่มมากขึ้นเรื่อย ๆ เมื่อเวลาผ่านไป มันผ่านพ้นจุดสิ้นสุดของชีวิตและไม่ได้รับการสนับสนุนอีกต่อไป คุณอาจไม่ควรใช้เวลากับเรื่องนี้มากนัก

— Michael Hampton

มันทำงานในเบราว์เซอร์ใด ๆ ? ฉันได้รับNXDOMAINเมื่อฉันพยายามเข้าถึง

— kasperd

มันใช้งานได้กับเบราว์เซอร์อื่น ๆ ทั้งหมด บันทึกแสดงว่าไม่มีอะไร (ฉันตรวจสอบทุกครั้งที่ไฟล์บันทึกข้อมูลและพยายามเพิ่ม verbose)

— pscheit

มันทำงานบนเบราว์เซอร์อื่น ๆ เช่น Firefox บน WinXP, IE7 บน Vista / 7/8, IE8 +, iOS, Android หรือไม่

ถ้าใช่สงสัยว่าชุดรหัสของคุณอาจมีข้อ จำกัด / ทันสมัยเกินไปที่จะอนุญาต IE7 / XP บังคับฐานผู้ใช้ของคุณให้อัปเกรดเบราว์เซอร์ / ระบบปฏิบัติการหรือกำหนดค่า SSLCipherSuite ของคุณใหม่:

ดูhttps://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites

ดูข้อผิดพลาด WinXP ที่เป็นไปได้นี้ / โปรแกรมแก้ไขด่วน KB: http://support.microsoft.com/kb/2541763/en-us

อาจลอง:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4

(พบข้อมูลข้างต้นในhttps://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )

— Joshua Huber
แหล่งที่มา

การเปลี่ยน ciphersuite ไม่ได้ช่วย ฉันกำลังตรวจสอบว่าการติดตั้ง Service Pack จะแก้ไขปัญหานี้ได้หรือไม่ แต่ลูกค้าของฉันมีลูกค้าที่ไม่สามารถอัปเกรด ...

— pscheit

สมมติว่าโฮสต์ของคุณสามารถเข้าถึงอินเทอร์เน็ตได้ให้ลองใช้ Qualys SSL Labs - การทดสอบเซิร์ฟเวอร์ SSL กับเซิร์ฟเวอร์ของคุณ ssllabs.com/ssltestก่อนที่จะเริ่มการสแกนตรวจสอบให้แน่ใจว่าได้ทำเครื่องหมายในช่องบนเว็บไซต์ที่ระบุว่า "อย่าแสดงผลลัพธ์บนกระดาน" หากคุณไม่ต้องการให้สแกนของคุณเผยแพร่ การสแกนจะใช้เวลาหนึ่งหรือสองนาที แต่จะแสดงผลการเจรจาของไคลเอนต์เว็บที่หลากหลาย สนใจที่จะดูว่ามันพูดอะไรสำหรับ IE7

— Joshua Huber

ผลลัพธ์คือ: IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11ดังนั้นจึงไม่มี SNI แน่นอน FS ดูเหมือนจะไม่เกี่ยวข้องด้วย (แค่ดีที่มีคุณสมบัติความปลอดภัยถ้าฉันเข้าใจถูกต้อง) อย่างไรก็ตามนี่คือการทดสอบที่ดีมากขอบคุณสำหรับลิงค์

— pscheit