ทำไม Internet Explorer 11 ไม่สามารถเชื่อมต่อกับไซต์ HTTPS เมื่อเปิดใช้งาน TLS 1.2

15

ปกติฉันจะไม่ใช้ Internet Explorer เลย ฉันใช้งานได้เฉพาะในเวลาออกแบบสำหรับการทดสอบส่วนต่อประสาน (เครื่องพัฒนาและด้วย http ที่ไม่ได้เข้ารหัส) ฉันทำการทดสอบเซิร์ฟเวอร์ SSL Labs ทุกสัปดาห์ซึ่งระบุว่า IE11 สามารถเข้าถึงเว็บไซต์ของฉันได้

วันนี้ฉันค้นพบปัญหากับหนึ่งในบริการของบุคคลที่สามของฉัน ฟังก์ชั่นพิเศษบางอย่างไม่ทำงานกับ Chrome หรือ Firefox ดังนั้นฉันจึงเปิดตัว IE11 บนเครื่อง Windows 7 ของฉัน และ IE11 แสดงให้ฉันเห็นหน้าข้อผิดพลาดในตัวแม่มดโดยทั่วไปบอกว่า "หน้าไม่สามารถแสดงได้" และ dummy bla bla ทั่วไปเช่นตรวจสอบ DNS และอื่น ๆ ไม่มีวี่แววของปัญหาการเข้ารหัสที่เกี่ยวข้องกับหน้าข้อผิดพลาดทั้งหมด (เช่นเบราว์เซอร์ปกติจะทำ)

ย้อนกลับไปสองสามเดือนมีschannelปัญหานี้ซึ่งป้องกันไม่ให้ IES ที่เปิดใช้งาน TLS1.2 เข้าถึงไซต์ HTTPS จากจุดนั้นในเวลา "รายการตรวจสอบ WTF สำหรับ IE ของฉัน" มี "ปิดใช้งาน TLS1.2" เป็นจุดตรวจสอบ และสิ่งที่ฉันควรจะพูดว่า ... ปิดการใช้งานภายใน TLS1.2 IE ทำงานและเว็บไซต์ของฉันสามารถใช้ได้อีกครั้ง แต่ฉันไม่สามารถทำได้บนเบราว์เซอร์ผู้เยี่ยมชมของฉัน

ตอนนี้เป็นคำถามจริง: เหตุใดเพราะเหตุใด Internet Explorer 11 ไม่สามารถเชื่อมต่อกับไซต์ HTTPS ของฉันเมื่อเปิดใช้งาน TLS 1.2 ภายใน IE และวิธีการแก้ไขในฝั่งเซิร์ฟเวอร์? SSL Labs จะบอกว่าทุกอย่างดีบนเว็บไซต์ของฉัน

แก้ไขสำคัญ:ดูเหมือนว่า IE11 สามารถจัดการได้เฉพาะโดเมนที่ไม่ใช่คำนำหน้าและไม่ใช่โดเมนที่นำหน้าเมื่อเปิดใช้งาน TLS1.2 โดเมนโดยไม่ต้องคำนำหน้า (www) ทำงานในขณะที่โดเมนรวมถึงคำนำหน้า (www) จะไม่ทำงาน

ด้านเซิร์ฟเวอร์ฉันใช้ debian / 7 nginx / 1.7.8 openssl / 1.0.1e

ยันต์ที่มีอยู่คือ: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

nginx  ssl  openssl  internet-explorer  tls 
burnersk
แหล่งที่มา
3
ฉันอาจเกี่ยวข้องหรือไม่: ใบรับรองของคุณมีรายการ SAN ซ้ำสำหรับ ssl.dev5media.de บางที IE11 croaks เกี่ยวกับที่? นอกเหนือจากนั้น CN คือ ssl.dev5media.de เช่นมีคำนำหน้า ssl และไม่มีคำนำหน้าตามที่คุณอธิบาย
Steffen Ullrich
ขอบคุณสำหรับการชี้ให้เห็นว่า @SteffenUllrich CN ไม่มีคำนำหน้าก่อนการหมุนใบรับรองครั้งสุดท้ายของฉันสองสามสัปดาห์ที่ผ่านมา ฉันจะลบส่วน CN ภายในคำถาม แต่อย่างไรก็ตาม ... มันทำงานเมื่อ TLS1.2 ถูกปิดใช้งาน การตรวจสอบความถูกต้องของใบรับรองไม่ควรอยู่ในไลบรารีที่ใช้ร่วมกันและไม่อยู่ในการใช้งานวิธีการเข้ารหัส (TLS1.0, TLS1.1, TLS1.2)
burnersk
1
เว็บไซต์www.dev5media.deทำงานสำหรับฉันใน IE11, Win7 ที่มี TLS 1.2 และรหัสTLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ตามการจับภาพแพคเกจ ระบบปฏิบัติการใดที่คุณใช้และคุณสามารถจับแพ็คเก็ตได้ทั้งชื่อที่ทำงานและชื่อที่ไม่ทำงานเพื่อดูความแตกต่าง
Steffen Ullrich
@SteffenUllrich: ฉันไม่ใช่ผู้เชี่ยวชาญ Wireshark แต่ดูเหมือนว่า www.dev5media.de handshake (พร้อมTLS_DHE_RSA_WITH_AES_128_GCM_SHA256) เสร็จเรียบร้อยแล้ว แต่หลังจากServer Hello Doneนั้นไม่มีการสื่อสารจากลูกค้าไปยังเซิร์ฟเวอร์
burnersk
2
ฉันได้ลองกับ IE11 (11.0.9600.17690) ใน Windows 8.1 และได้รับข้อผิดพลาดทั่วไป "หน้านี้ไม่สามารถแสดงได้" สำหรับทั้งคู่https://dev5media.de/และhttps://www.dev5media.de/ดังนั้นฉันจึงได้ผลลัพธ์ที่สอดคล้องกันมากขึ้น
Håkan Lindqvist

คำตอบ:

5

คุณเปิดใช้งาน SSL 2.0 ด้วยหรือไม่

ตามhttp://support.microsoft.com/en-us/kb/2851628 "SSL 2.0 และ TLS 1.2 จะไม่เข้ากันกับแต่ละอื่น ๆ ใน Windows 7 และระบบปฏิบัติการในภายหลัง. ในการใช้ใบรับรองฝั่งไคลเอ็นต์ในการสร้างการเชื่อมต่อ HTTPS ใน TLS 1.2 คุณต้องปิดการใช้งาน SSL 2.0 "

จอห์นบอล
แหล่งที่มา
3

พบปัญหานี้ในวันนี้กับ IE11 บน Win 7 (อัปเดตอย่างสมบูรณ์ด้วยการอัปเดตที่สำคัญ แต่ไม่ใช่ตัวเลือกเสริม) เมื่อใช้ชุด Intermediate ของ Mozillaซึ่งทำงานได้ดีกับ IE8 บน XP และควรทำงานกับ IE7 + คิดว่าฉันจะโพสต์ที่นี่เป็นปัญหานี้ไม่เปิดขึ้นมากใน google

ใช้เวลากับ wireshark หาการดัดแปลงขั้นต่ำที่จำเป็นเพื่อให้มันทำงาน ข้อสงวนสิทธิ์: ฉันไม่ใช่ผู้เชี่ยวชาญ crypto อาจมีวิธีที่ดีกว่าในการทำเช่นนี้ แต่มันไม่เปลี่ยนคะแนน ssllabs.com ของฉันเลย

ย้าย ECDHE-RSA-AES128-SHA256 (อันแรกที่ทำงานกับ IE11) ขึ้นไปเหนือ kEDH + AESGCM และ DHE-RSA-AES128-GCM-SHA256 สำหรับชุดระดับกลางที่ส่งผลให้:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
aaron-Bru
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.