Mengapa Internet Explorer 11 tidak dapat terhubung ke situs HTTPS ketika TLS 1.2 diaktifkan?

15

Biasanya saya tidak menggunakan Internet Explorer sama sekali. Saya menggunakannya hanya dalam waktu desain untuk pengujian antarmuka (mesin pengembangan dan dengan http tidak terenkripsi). Setiap minggu saya menjalankan uji server SSL Labs yang mengatakan bahwa IE11 dapat mengakses situs saya.

Hari ini saya menemukan masalah dengan salah satu layanan pihak ke-3 saya. Beberapa fungsi khusus tidak berfungsi dengan Chrome atau Firefox jadi saya meluncurkan IE11 pada mesin Windows 7 saya. Dan IE11 menunjukkan kepada saya penyihir halaman builtin error pada dasarnya hanya mengatakan "halaman tidak dapat ditampilkan". Dan tipuan dummy bla bla suka cek DNS dan sebagainya. Sama sekali tidak ada tanda-tanda masalah terkait enkripsi di seluruh halaman kesalahan (seperti yang dilakukan browser normal).

Kembali beberapa bulan ada schannelmasalah ini yang mencegah TLS1.2 diaktifkan IE untuk mengakses situs HTTPS. Sejak saat itu "daftar periksa WTF saya untuk IE" berisi "nonaktifkan TLS1.2" sebagai pos pemeriksaan. Dan apa yang harus saya katakan ... menonaktifkan TLS1.2 dalam IE bekerja dan situs saya tersedia lagi . Tapi saya tidak bisa melakukan ini di browser pengunjung saya.

Sekarang untuk pertanyaan nyata: Mengapa Mengapa Internet Explorer 11 tidak dapat terhubung ke situs HTTPS saya ketika TLS 1.2 diaktifkan dalam IE? Dan bagaimana cara memperbaikinya di sisi server? SSL Labs memberi tahu bahwa semuanya baik-baik saja di situs saya .

Imporant Edit: Tampaknya IE11 hanya dapat menangani domain non-awalan dan bukan domain awalan saat TLS1.2 diaktifkan. domain tanpa awalan (www) berfungsi sementara domain termasuk awalan (www) tidak akan berfungsi .

Di sisi server saya menggunakan debian / 7 nginx / 1.7.8 openssl / 1.0.1e

Cipher yang tersedia adalah: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

nginx ssl openssl internet-explorer tls burnersk
sumber
3
Saya mungkin terkait atau tidak: sertifikat Anda memiliki duplikat entri SAN untuk ssl.dev5media.de. Mungkin IE11 parau tentang itu? Selain itu CN adalah ssl.dev5media.de, yaitu memiliki awalan ssl dan tidak ada awalan seperti yang Anda gambarkan.
Steffen Ullrich
Terima kasih telah menunjukkannya, @SteffenUllrich. CN tanpa awalan sebelum rotasi sertifikat terakhir saya beberapa minggu yang lalu. Saya akan menghapus bagian CN dalam pertanyaan. Tapi bagaimanapun ... ini berfungsi ketika TLS1.2 dinonaktifkan. Bukankah validasi sertifikat harus di perpustakaan bersama dan tidak dalam implementasi metode enkripsi (TLS1.0, TLS1.1, TLS1.2)?
burnersk
1
Situs ini www.dev5media.deberfungsi untuk saya di IE11, Win7 dengan TLS 1.2 dan cipher TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 menurut paket capture. OS mana yang Anda gunakan dan dapatkah Anda melakukan penangkapan paket untuk nama yang berfungsi dan yang tidak bekerja untuk melihat perbedaannya?
Steffen Ullrich
@SteffenUllrich: Saya bukan ahli Wireshark tapi saya sepertinya jabat tangan (dengan TLS_DHE_RSA_WITH_AES_128_GCM_SHA256) www.dev5media.de berhasil dilakukan. Tetapi setelah Server Hello Donetidak ada komunikasi dari klien ke server.
burnersk
2
Fwiw, saya mencoba dengan IE11 (11.0.9600.17690) pada Windows 8.1 dan mendapatkan kesalahan umum "Halaman ini tidak dapat ditampilkan" untuk keduanya https://dev5media.de/dan https://www.dev5media.de/, jadi entah bagaimana saya mendapatkan hasil yang lebih konsisten.
Håkan Lindqvist

Jawaban:

5

Apakah Anda juga mengaktifkan SSL 2.0?

Menurut http://support.microsoft.com/en-us/kb/2851628 "SSL 2.0 dan TLS 1.2 tidak kompatibel satu sama lain di Windows 7 dan sistem operasi yang lebih baru. Untuk menggunakan sertifikat sisi klien untuk membuat koneksi HTTPS lebih dari TLS 1.2, Anda harus menonaktifkan SSL 2.0 ".

John Ball
sumber
3

Mengalami masalah ini hari ini dengan IE11 pada Win 7 (sepenuhnya diperbarui dengan pembaruan penting, tetapi bukan yang opsional), ketika menggunakan suite Menengah Mozilla , yang berfungsi dengan baik dengan IE8 pada XP dan seharusnya bekerja dengan IE7 +. Saya pikir saya akan memposting di sini adalah masalah ini tidak muncul banyak di google.

Menghabiskan waktu dengan wireshark mencari tahu modifikasi minimum yang diperlukan untuk membuatnya berfungsi. Penafian: Saya bukan ahli crypto, mungkin ada cara yang lebih baik untuk melakukan ini. Tapi itu tidak mengubah peringkat ssllabs.com saya sama sekali.

Pindahkan ECDHE-RSA-AES128-SHA256 (yang pertama yang bekerja untuk IE11) di atas kEDH + AESGCM dan DHE-RSA-AES128-GCM-SHA256, untuk suite perantara yang menghasilkan:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
aaron-bru
sumber