启用TLS 1.2后，为什么Internet Explorer 11无法连接到HTTPS站点？

通常我根本不使用Internet Explorer。我仅在设计时进行接口测试（开发机器和未加密的http）使用它。每周我都会运行SSL Labs服务器测试，其中说IE11能够访问我的网站。

今天，我发现我的第三方服务之一存在问题。某些特殊功能不适用于Chrome或Firefox，因此我在Windows 7计算机上启动了IE11。IE11告诉我一个内置的错误页面，女巫基本上只说“页面无法显示”。与典型的虚拟bla bla一样，例如检查DNS等。在整个错误页面上绝对没有迹象表明存在与加密相关的问题（就像普通浏览器一样）。

几个月前就出现了这个schannel问题，该问题阻止了启用TLS1.2的IE访问HTTPS站点。从那时起，我的“ IE的WTF检查表”包含“禁用TLS1.2”作为检查点。我该怎么说... 在IE中禁用TLS1.2可以正常工作，并且我的站点可以再次使用。但是我无法在访问者浏览器上执行此操作。

现在是真正的问题：为什么在IE中启用TLS 1.2时，为什么Internet Explorer 11无法连接到我的HTTPS站点？以及如何在服务器端修复它？SSL Labs告诉我，我的网站上一切正常。

重要编辑：启用TLS1.2后，似乎IE11只能处理非前缀域，而不能处理前缀域。不带前缀（www）的域有效，而带前缀（www）的域不起作用。

在服务器端，我正在使用debian / 7 nginx / 1.7.8 openssl / 1.0.1e

可用的密码有： ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

— 伯恩斯克
source

我可能没有关系：您的证书具有ssl.dev5media.de的重复SAN条目。也许IE11对此大惊小怪？除此之外，CN是ssl.dev5media.de，即具有ssl前缀，而不是您所描述的没有前缀。

— Steffen Ullrich'3

感谢您指出@SteffenUllrich。几周前我上一次证书轮换之前，CN没有前缀。我将删除问题中的CN部分。但是无论如何 ...禁用TLS1.2时，它可以正常工作。证书验证不应该在共享库中，而不应该在加密方法实现（TLS1.0，TLS1.1，TLS1.2）中吗？

— Burnersk

根据软件包捕获www.dev5media.de，该站点可在IE11，带有TLS 1.2和密码的Win7上为我工作TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256。您使用哪种操作系统，可以同时对工作名称和非工作名称进行数据包捕获，以了解两者的区别？

— Steffen Ullrich'3

@SteffenUllrich：我不是Wireshark专家，但我看起来www.dev5media.de握手（带有TLS_DHE_RSA_WITH_AES_128_GCM_SHA256）已成功完成。但是在Server Hello Done客户端到服务器之间没有通信之后。

— Burnersk

FWIW，我用IE11（11.0.9600.17690）在Windows 8.1中尝试和得到了两种通用的“无法显示此页”的错误https://dev5media.de/和https://www.dev5media.de/，所以不知何故，我得到了一个更加一致的结果。

— 哈坎·林奎斯特

Answers:

您还启用了SSL 2.0吗？

根据http://support.microsoft.com/zh-cn/kb/2851628，"SSL 2.0和TLS 1.2在Windows 7和更高版本的操作系统中彼此不兼容。使用客户端证书建立HTTPS连接通过TLS 1.2，必须禁用SSL 2.0”。

— 约翰·鲍尔
source

今天，当使用Mozilla的Intermediate suite时，在Win 7上使用IE11（已完全更新为重要更新，但不是可选更新）遇到此问题，该套件在XP上的IE8上运行良好，并且应该与IE7 +一起使用。以为我要在这里发布的内容是，这个问题在Google上的作用并不大。

Wireshak花了一些时间来找出使它工作所需的最小修改。免责声明：我不是加密专家，可能会有更好的方法来做到这一点。但这丝毫没有改变我的ssllabs.com评分。

对于中间套件，将ECDHE-RSA-AES128-SHA256（第一个适用于IE11的）移到kEDH + AESGCM和DHE-RSA-AES128-GCM-SHA256之上，从而得到：

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

— 亚伦布鲁
source

我找到的唯一解决方案是：http : //www.techsupportall.com/solved-cannot-access-secure-sites-https-websites-not-opening-view/
其中包含有关如何将REGSVR转换为Internet Explorer的说明。

— 托杜亚
source