Normalmente, não uso o Internet Explorer. Eu o uso apenas em tempo de design para testes de interface (máquina de desenvolvimento e com http não criptografado). Toda semana eu executo o teste do servidor SSL Labs, que diz que o IE11 pode acessar meus sites.
Hoje eu descobri um problema com um dos meus serviços de terceiros. Algumas funções especiais não estão funcionando com o Chrome ou o Firefox, então iniciei o IE11 na minha máquina com Windows 7. E o IE11 mostra uma página de erro interna que basicamente diz apenas "a página não pôde ser exibida". E o típico manequim bla bla como verificar o DNS e assim por diante. Não havia absolutamente nenhum sinal de um problema relacionado à criptografia em toda a página de erro (como faria o navegador normal).
Em alguns meses, ocorreu um schannel
problema que evita que os IEs habilitados para TLS1.2 acessem sites HTTPS. A partir desse momento, minha "lista de verificação WTF para IE" contém "desativar TLS1.2" como um ponto de verificação. E o que devo dizer ... desativar o TLS1.2 no IE funcionou e meu site está disponível novamente . Mas não posso fazer isso nos navegadores dos meus visitantes.
Agora, as perguntas reais: Por que o Internet Explorer 11 não consegue se conectar ao meu site HTTPS quando o TLS 1.2 está ativado no IE? E como corrigi-lo no lado do servidor? O SSL Labs está dizendo que está tudo bem no meu site .
Edição importante: parece que o IE11 pode lidar apenas com o domínio sem prefixo e não com o prefixo quando o TLS1.2 está ativado. domínio sem prefixo (www) funciona, enquanto domínio incluindo prefixo (www) não funciona .
No lado do servidor, estou usando debian / 7 nginx / 1.7.8 openssl / 1.0.1e
As cifras disponíveis são: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
www.dev5media.de
funciona para mim no IE11, Win7 com TLS 1.2 e cifra deTLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
acordo com uma captura de pacote. Qual sistema operacional você usa e pode capturar pacotes para o nome ativo e não ativo para ver a diferença?TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
) foi feito com sucesso. Mas depoisServer Hello Done
não há comunicação do cliente para o servidor.https://dev5media.de/
ehttps://www.dev5media.de/
, de alguma forma, obtive um resultado mais consistente.Respostas:
Você também tem o SSL 2.0 ativado?
De acordo com http://support.microsoft.com/en-us/kb/2851628 "SSL 2.0 e TLS 1.2 não são compatíveis entre si nos sistemas operacionais Windows 7 e posteriores. Para usar certificados do lado do cliente para estabelecer uma conexão HTTPS no TLS 1.2, você deve desativar o SSL 2.0 ".
fonte
Hoje, resolvi esse problema com o IE11 no Win 7 (totalmente atualizado com atualizações importantes, mas não opcionais), ao usar o pacote Intermediário da Mozilla , que funciona bem com o IE8 no XP e deve funcionar com o IE7 +. Pensei que eu postaria aqui é que esse problema não aparece muito mais no google.
Passei algum tempo com o wireshark descobrindo a modificação mínima necessária para fazê-lo funcionar. Disclaimer: Eu não sou um especialista em criptografia, poderia haver uma maneira melhor de fazer isso. Mas isso não mudou minha classificação no ssllabs.com.
Mova ECDHE-RSA-AES128-SHA256 (o primeiro que funciona para o IE11) acima de kEDH + AESGCM e DHE-RSA-AES128-GCM-SHA256, para o conjunto intermediário, resultando em:
fonte
A única solução que encontrei: http://www.techsupportall.com/solved-cannot-access-secure-sites-https-websites-not-opening-view/
Há instruções sobre como REGSVR para o Internet Explorer.
fonte