O Internet Explorer não pode exibir a página do apache com um host virtual SSL único

10

Tenho uma pergunta que surgiu de alguma forma em perguntas diferentes, mas ainda não consigo encontrar a solução.

Meu problema é que estou hospedando um site no apache 2.4 no debian com SSL e Internet Explorer 7 no windows xp shows 

Internet Explorer cannot display the webpage

Eu tenho apenas UM host virtual que usa ssl, mas DIFERENTES hosts virtuais que usam http. Aqui está minha configuração para o site com SSL ativado (etc / sites-avaible / default-ssl NÃO está vinculado)

<Virtualhost xx.yyy.86.193:443>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
  Alias /files "/var/local/www/my-certified-domain.de/current/files"

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  <Directory "/var/local/www/my-certified-domain.de/current/www">
    AllowOverride All
  </Directory>

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
  SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
  SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

  SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca

  BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>

<VirtualHost *:80>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>

meu ports.conf fica assim:

NameVirtualHost *:80
Listen 80

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

<IfModule mod_gnutls.c>
    Listen 443
</IfModule>

a saída de apache2ctl -Sé assim:

xx.yyy.86.193:443      www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80                   is a NameVirtualHost
         default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
         port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
         port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)

Incluí a solução para esta pergunta: o Internet Explorer não pode exibir a página, outros navegadores podem, possivelmente htaccess / erro do servidor

E eu entendo a resposta desta pergunta:

Como configurar o Apache NameVirtualHost no SSL?

Na faakt: Eu só tenho um certificado SSL para o domínio. E eu só quero executar um host virtual com ssl. Então, eu só quero usar o um ip para o host virtual ssl. Mas ainda assim (após reiniciar / reiniciar / testar) o Internet Explorer ainda não mostrará a página.

Quando interpreto o apachectl -S também, já tenho apenas um host SSL e isso deve responder ao handshake SSH inicial, não deveria?

O que há de errado nesta configuração?

Muito obrigado Philipp

Atualização: funciona em todos os outros navegadores. Eu depurei com o wireshark e o servidor envia um alerta para notificar que a conexão está fechada. Mas não consigo ver o problema nos logs

apache-2.2 ssl internet-explorer pscheit
fonte
2
Então, o que é registrado nos logs do servidor? Também ... Sério? O IE no XP continuará falhando, cada vez mais, com o passar do tempo. Já passou do fim da vida e não é mais suportado. Você provavelmente não deveria gastar muito tempo nisso.
Michael Hampton
Funciona em qualquer navegador? Eu entendo NXDOMAIN, quando tento acessá-lo.
kasperd
funciona com todos os outros navegadores. Os registros mostram NADA (i dobro verificado a cada arquivo de log e tentou aumentar detalhado)
pscheit

Respostas:

2

Funciona em outros navegadores, por exemplo, Firefox no WinXP, IE7 no Vista / 7/8, IE8 +, iOS, Android?

Se sim, suspeite que o seu conjunto de criptografia possa ser muito restritivo / moderno para permitir o IE7 / XP. Forçar sua base de usuários a atualizar seu navegador / SO ou reconfigurar seu SSLCipherSuite:

Consulte https://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites

Consulte também este possível hotfix de bug / KB do WinXP: http://support.microsoft.com/kb/2541763/en-us

Talvez tente:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4

(encontrado acima em https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )

Joshua Huber
fonte
alterar o ciphersuite não ajuda. Estou investigando se a instalação de um service pack corrigirá esse problema. Mas o meu cliente tem clientes que não são capazes de atualizar ...
pscheit
Supondo que seu host tenha acesso à Internet, tente executar o Qualys SSL Labs - Teste do servidor SSL no servidor. ssllabs.com/ssltest Antes de iniciar a verificação, certifique-se de marcar a caixa no site que diz "Não mostrar os resultados nos quadros" se você não deseja que a verificação seja publicada. A verificação levará um ou dois minutos, mas mostrará os resultados da negociação de uma ampla variedade de clientes da Web. Interessado em ver o que diz para o IE7.
Joshua Huber
O resultado é: IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11portanto, nenhum SNI é verdade. O FS parece não ser relevante também (apenas um bom recurso de segurança, se eu acertar). De qualquer forma este é um teste muito bom, obrigado pelo link
pscheit