启用TLS 1.2后,为什么Internet Explorer 11无法连接到HTTPS站点?


15

通常我根本不使用Internet Explorer。我仅在设计时进行接口测试(开发机器和未加密的http)使用它。每周我都会运行SSL Labs服务器测试,其中说IE11能够访问我的网站。

今天,我发现我的第三方服务之一存在问题。某些特殊功能不适用于Chrome或Firefox,因此我在Windows 7计算机上启动了IE11。IE11告诉我一个内置的错误页面,女巫基本上只说“页面无法显示”。与典型的虚拟bla bla一样,例如检查DNS等。在整个错误页面上绝对没有迹象表明存在与加密相关的问题(就像普通浏览器一样)。

几个月前就出现了这个schannel问题,该问题阻止了启用TLS1.2的IE访问HTTPS站点。从那时起,我的“ IE的WTF检查表”包含“禁用TLS1.2”作为检查点。我该怎么说... 在IE中禁用TLS1.2可以正常工作,并且我的站点可以再次使用。但是我无法在访问者浏览器上执行此操作。

现在是真正的问题:为什么在IE中启用TLS 1.2时,为什么Internet Explorer 11无法连接到我的HTTPS站点?以及如何在服务器端修复它?SSL Labs告诉我,我的网站上一切正常

重要编辑:启用TLS1.2后,似乎IE11只能处理非前缀域,而不能处理前缀域。不带前缀(www)的有效,带前缀(www)的域不起作用

在服务器端,我正在使用debian / 7 nginx / 1.7.8 openssl / 1.0.1e

可用的密码有: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA


3
我可能没有关系:您的证书具有ssl.dev5media.de的重复SAN条目。也许IE11对此大惊小怪?除此之外,CN是ssl.dev5media.de,即具有ssl前缀,而不是您所描述的没有前缀。
Steffen Ullrich'3

感谢您指出@SteffenUllrich。几周前我上一次证书轮换之前,CN没有前缀。我将删除问题中的CN部分。但是无论如何 ...禁用TLS1.2时,它可以正常工作。证书验证不应该在共享库中,而不应该在加密方法实现(TLS1.0,TLS1.1,TLS1.2)中吗?
Burnersk

1
根据软件包捕获www.dev5media.de,该站点可在IE11,带有TLS 1.2和密码的Win7上为我工作TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256。您使用哪种操作系统,可以同时对工作名称和非工作名称进行数据包捕获,以了解两者的区别?
Steffen Ullrich'3

@SteffenUllrich:我不是Wireshark专家,但我看起来www.dev5media.de握手(带有TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)已成功完成。但是在Server Hello Done客户端到服务器之间没有通信之后。
Burnersk

2
FWIW,我用IE11(11.0.9600.17690)在Windows 8.1中尝试和得到了两种通用的“无法显示此页”的错误https://dev5media.de/https://www.dev5media.de/,所以不知何故,我得到了一个更加一致的结果。
哈坎·林奎斯特

Answers:



3

今天,当使用Mozilla的Intermediate suite时,在Win 7上使用IE11(已完全更新为重要更新,但不是可选更新)遇到此问题,该套件在XP上的IE8上运行良好,并且应该与IE7 +一起使用。以为我要在这里发布的内容是,这个问题在Google上的作用并不大。

Wireshak花了一些时间来找出使它工作所需的最小修改。免责声明:我不是加密专家,可能会有更好的方法来做到这一点。但这丝毫没有改变我的ssllabs.com评分。

对于中间套件,将ECDHE-RSA-AES128-SHA256(第一个适用于IE11的)移到kEDH + AESGCM和DHE-RSA-AES128-GCM-SHA256之上,从而得到:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.