Vraag Waarom kan Internet Explorer 11 geen verbinding maken met HTTPS-sites wanneer TLS 1.2 is ingeschakeld?


Normaal gebruik ik helemaal geen Internet Explorer. Ik gebruik het alleen in ontwerptijd voor interfacetests (ontwikkelingsmachine en met niet-versleutelde http). Elke week voer ik de servertest van SSL Labs uit, waarin staat dat IE11 toegang heeft tot mijn sites.

Vandaag heb ik een probleem ontdekt met een van mijn services van derden. Sommige speciale functies werken niet met Chrome of Firefox, dus ik heb IE11 op mijn Windows 7-computer geïntroduceerd. En IE11 toont me een ingebouwde foutpagina die in feite alleen zegt "de pagina kon niet worden getoond". En de typische dummy bla bla like check de DNS enzovoort. Er was absoluut geen teken van een versleutelingsprobleem op de gehele foutpagina (zoals de normale browser zou doen).

Een paar maanden geleden was er dit schannel probleem dat voorkomt dat IES met TLS1.2 toegang krijgen tot HTTPS-sites. Vanaf dat moment bevat mijn "WTF-checklist voor IE" "uitschakelen TLS1.2" als een checkpoint. En wat moet ik zeggen ... het uitschakelen van TLS1.2 binnen IE werkte en mijn site is weer beschikbaar. Maar ik kan dit niet doen in de browsers van mijn bezoekers.

Nu naar de echte vragen: Waarom Waarom kan Internet Explorer 11 geen verbinding maken? mijn HTTPS-site wanneer TLS 1.2 is ingeschakeld in IE? En hoe te repareren aan de serverkant? SSL Labs vertelt dat alles is goed op mijn site.

Aanzienlijke bewerking: Het lijkt erop dat IE11 alleen het niet-prefix-domein kan verwerken en niet de vooraf gedefinieerde domeinen wanneer TLS1.2 is ingeschakeld. domein zonder prefix (www) werkt terwijl domein inclusief prefix (www) werkt niet.

Aan de serverkant gebruik ik debian / 7 nginx / 1.7.8 openssl / 1.0.1e

Beschikbare cijfers zijn: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA


15
2018-03-22 09:45


oorsprong


Ik kan gerelateerd zijn of niet: uw certificaat bevat dubbele SAN-gegevens voor ssl.dev5media.de. Misschien kraakt IE11 daarover? Afgezien daarvan is de CN ssl.dev5media.de, d.w.z. heeft de prefix ssl en geen prefix zoals u beschrijft. - Steffen Ullrich
Bedankt dat je dit hebt opgemerkt, @SteffenUllrich. CN had een voorvoegsel voor mijn laatste certificaatrotatie een paar weken geleden. Ik zal het CN-gedeelte binnen de vraag verwijderen. Maar hoe dan ook... het werkt wanneer TLS1.2 is uitgeschakeld. Moet de certificaatvalidatie niet in een gedeelde bibliotheek zijn en niet binnen de implementaties van de versleutelingsmethode (TLS1.0, TLS1.1, TLS1.2)? - burnersk
De website www.dev5media.de werkt voor mij op IE11, Win7 met TLS 1.2 en cipher TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256  volgens een pakketopname. Welk besturingssysteem gebruikt u en kunt u een pakketregistratie uitvoeren voor zowel de werkende als de niet-werkende naam om het verschil te zien? - Steffen Ullrich
@SteffenUllrich: Ik ben geen Wireshark-expert maar ik zie eruit als de handmake www.dev5media.de (met TLS_DHE_RSA_WITH_AES_128_GCM_SHA256) is met succes uitgevoerd. Maar daarna Server Hello Done er is geen communicatie van client naar server. - burnersk
Fwiw, ik heb geprobeerd met IE11 (11.0.9600.17690) op Windows 8.1 en kreeg de generieke "Deze pagina kan niet worden weergegeven" -fout voor zowel https://dev5media.de/ en https://www.dev5media.de/, dus op de een of andere manier kreeg ik een meer consistent resultaat. - Håkan Lindqvist


antwoorden:


Heeft u ook SSL 2.0 ingeschakeld?

Volgens http://support.microsoft.com/en-us/kb/2851628 "SSL 2.0 en TLS 1.2 zijn niet compatibel met elkaar in Windows 7 en latere besturingssystemen. Als u certificaten aan de kant van de client wilt gebruiken om een ​​HTTPS-verbinding tot stand te brengen via TLS 1.2, moet u SSL 2.0 uitschakelen".


5
2018-03-30 11:50





Liep vandaag op dit probleem met IE11 op Win 7 (volledig bijgewerkt met belangrijke updates, maar niet optioneel), bij gebruik Intermediaire suite van Mozilla, dat werkt prima met IE8 op XP en zou moeten werken met IE7 +. Dacht dat ik hier zou posten is dit probleem komt niet veel anders op google.

Besteed wat tijd aan wireshark uitzoeken van de minimale aanpassing die nodig is om het te laten werken. Disclaimer: ik ben geen crypto-expert, er kan een betere manier zijn om dit te doen. Maar het heeft mijn ssllabs.com rating helemaal niet veranderd.

Verplaats ECDHE-RSA-AES128-SHA256 (de eerste die werkt voor IE11) tot boven kEDH + AESGCM en DHE-RSA-AES128-GCM-SHA256, voor de intermediate suite resulterend in:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

3
2017-08-22 00:27





De enige oplossing Ik heb gevonden: http://www.techsupportall.com/solved-cannot-access-secure-sites-https-websites-not-opening-view/
Er is instructie hoe REGSVR naar Internet Explorer gaat.


0
2018-05-21 17:10