Internet Explorer tidak dapat menampilkan halaman dari apache dengan satu host virtual SSL

10

Saya punya pertanyaan yang entah bagaimana muncul dalam pertanyaan yang berbeda tetapi saya masih belum menemukan solusinya.

Masalah saya adalah bahwa saya hosting situs di apache 2.4 di debian dengan SSL dan Internet Explorer 7 di windows xp

Internet Explorer cannot display the webpage

Saya hanya punya SATU host virtual yang menggunakan ssl, tetapi host virtual BERBEDA yang menggunakan http. Ini adalah konfigurasi saya untuk situs dengan SSL diaktifkan (etc / sites-avaible / default-ssl TIDAK ditautkan)

<Virtualhost xx.yyy.86.193:443>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
  Alias /files "/var/local/www/my-certified-domain.de/current/files"

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  <Directory "/var/local/www/my-certified-domain.de/current/www">
    AllowOverride All
  </Directory>

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
  SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
  SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

  SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca

  BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>

<VirtualHost *:80>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>

ports.conf saya terlihat seperti ini:

NameVirtualHost *:80
Listen 80

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

<IfModule mod_gnutls.c>
    Listen 443
</IfModule>

output dari apache2ctl -Sseperti ini:

xx.yyy.86.193:443      www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80                   is a NameVirtualHost
         default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
         port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
         port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)

Saya menyertakan solusi untuk pertanyaan ini: Internet explorer tidak dapat menampilkan halaman, browser lain dapat, mungkin htaccess / server error

Dan saya mengerti jawaban dari pertanyaan ini:

Bagaimana cara mengatur Apache NameVirtualHost di SSL?

Pada fakt: Saya hanya memiliki satu sertifikat ssl untuk domain tersebut. Dan saya hanya ingin menjalankan SATU host virtual dengan ssl. Jadi saya hanya ingin menggunakan satu ip untuk host virtual ssl. Tetapi tetap (setelah me-reboot / memulai kembali / menguji) internet explorer masih tidak akan menampilkan halaman.

Ketika saya intepret apachectl -S juga, saya sudah memiliki hanya satu host SSL dan ini harus menanggapi jabat tangan SSH awal, bukan?

Apa yang salah dalam pengaturan ini?

Terima kasih banyak, Philipp

Pembaruan: Berfungsi di semua peramban lain. Saya debugged dengan wireshark dan server mengirimkan peringatan untuk memberitahukan bahwa koneksi ditutup. Tapi saya tidak bisa melihat masalah di log

pscheit
sumber
2
Jadi, apa yang dicatat di log server? Juga. Secara serius? IE di XP hanya akan terus gagal, lebih dan lebih buruk seiring berjalannya waktu. Ini melewati akhir hidupnya dan tidak lagi didukung. Anda mungkin tidak harus menghabiskan banyak waktu untuk ini.
Michael Hampton
Apakah itu berfungsi di browser apa saja? Saya mengerti NXDOMAIN, ketika saya mencoba mengaksesnya.
kasperd
ini bekerja dengan semua browser lain. Log menunjukkan NOTHING (saya mengecek setiap logfile dan mencoba meningkatkan verbose)
pscheit

Jawaban:

2

Apakah itu berfungsi pada browser lain, misalnya Firefox pada WinXP, IE7 pada Vista / 7/8, IE8 +, iOS, Android?

Jika ya, maka curiga bahwa suite sandi Anda mungkin terlalu ketat / modern untuk memungkinkan IE7 / XP. Entah memaksa basis pengguna Anda untuk memutakhirkan browser / OS mereka atau mengkonfigurasi ulang SSLCipherSuite Anda:

Lihat https://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites

Juga melihat perbaikan terbaru WinXP bug / KB ini: http://support.microsoft.com/kb/2541763/en-us

Mungkin mencoba:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4

(ditemukan di atas di https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )

Joshua Huber
sumber
mengubah ciphersuite tidak membantu. Saya sedang menyelidiki apakah menginstal paket layanan akan memperbaiki masalah ini. Tetapi klien saya memiliki klien yang tidak dapat memutakhirkan ...
pscheit
Dengan asumsi host Anda dapat dijangkau Internet, coba jalankan Qualys SSL Labs - Tes Server SSL terhadap server Anda. ssllabs.com/ssltest Sebelum Anda memulai pemindaian, pastikan untuk mencentang kotak di situs yang bertuliskan "Jangan tampilkan hasilnya di papan" jika Anda tidak ingin pemindaian Anda dipublikasikan. Pemindaian akan memakan waktu satu atau dua menit, tetapi akan menunjukkan hasil negosiasi berbagai klien web. Tertarik untuk melihat apa yang dikatakan untuk IE7.
Joshua Huber
Hasilnya adalah: IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11jadi TIDAK ada SNI yang tentu saja benar. FS tampaknya tidak relevan juga (hanya menyenangkan untuk memiliki fitur keamanan, jika saya melakukannya dengan benar). Pokoknya ini adalah tes yang sangat bagus, terima kasih atas tautannya
pscheit