it-swarm.com.de

Warum kann Internet Explorer 11 keine Verbindung zu HTTPS-Sites herstellen, wenn TLS 1.2 aktiviert ist?

Normalerweise benutze ich den Internet Explorer überhaupt nicht. Ich benutze es nur in der Entwurfszeit für Schnittstellentests (Entwicklungsmaschine und mit unverschlüsseltem http). Jede Woche führe ich den SSL Labs-Servertest durch, der besagt, dass IE11 auf meine Websites zugreifen kann.

Heute habe ich ein Problem mit einem meiner Dienste von Drittanbietern entdeckt. Einige spezielle Funktionen funktionieren nicht mit Chrome oder Firefox, daher habe ich IE11 auf meinem Windows 7-Computer gestartet. Und IE11 zeigt mir eine integrierte Fehlerseite, die im Grunde nur sagt "Die Seite konnte nicht angezeigt werden". Und das typische Dummy-Bla-Bla wie das Überprüfen des DNS und so weiter. Es gab absolut keine Anzeichen für ein Verschlüsselungsproblem auf der gesamten Fehlerseite (wie es ein normaler Browser tun würde).

Vor ein paar Monaten gab es dieses schannel Problem, das TLS1.2-fähige IEs daran hinderte, auf HTTPS-Sites zuzugreifen. Ab diesem Zeitpunkt enthält meine "WTF-Checkliste für IE" "TLS1.2 deaktivieren" als Prüfpunkt. Und was soll ich sagen ... Deaktivieren von TLS1.2 innerhalb von IE hat funktioniert und meine Site ist wieder verfügbar . Aber Ich kann dies in den Browsern meiner Besucher nicht tun.

Nun zu den eigentlichen Fragen: Warum kann Internet Explorer 11 keine Verbindung zu meiner HTTPS-Site herstellen , wenn TLS 1.2 im IE aktiviert ist? Und wie kann man das auf der Serverseite beheben? SSL Labs sagt, dass auf meiner Website ist alles in Ordnung .

Wichtige Bearbeitung: Es scheint, dass IE11 nur die Nicht-Präfix-Domäne und nicht die Präfix-Domänen verarbeiten kann, wenn TLS1.2 aktiviert ist. Domain ohne Präfix (www) funktioniert während Domain mit Präfix (www) nicht funktioniert .

Auf der Serverseite verwende ich debian/7 nginx/1.7.8 openssl/1.0.1e

Verfügbare Chiffren sind: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

15
burnersk

Haben Sie auch SSL 2.0 aktiviert?

Laut http://support.Microsoft.com/en-us/kb/2851628 "SSL 2.0 und TLS 1.2 sind unter Windows 7 und späteren Betriebssystemen nicht miteinander kompatibel. Nebenzertifikate, um eine HTTPS-Verbindung über TLS 1.2 herzustellen, müssen Sie SSL 2.0 deaktivieren.

5
John Ball

Ist heute mit IE11 unter Win 7 auf dieses Problem gestoßen (vollständig aktualisiert mit wichtigen, aber nicht optionalen Updates), wenn Mozillas Intermediate Suite verwendet wird, was mit IE8 unter XP gut funktioniert und angenommen wird mit IE7 + arbeiten. Ich dachte, ich würde hier posten, dieses Problem taucht sonst bei Google nicht viel auf.

Verbrachte einige Zeit mit Wireshark, um herauszufinden, welche Änderungen mindestens erforderlich sind, damit es funktioniert. Haftungsausschluss: Ich bin kein Krypto-Experte, es könnte einen besseren Weg geben, dies zu tun. Aber es hat meine Bewertung von ssllabs.com überhaupt nicht geändert.

Bewegen Sie ECDHE-RSA-AES128-SHA256 (das erste, das für IE11 funktioniert) über kEDH + AESGCM und DHE-RSA-AES128-GCM-SHA256 nach oben.

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
3
aaron-bru

Die einzige Lösung , die ich gefunden habe: http://www.techsupportall.com/solved-cannot-access-secure-sites-https -websites-not-opensing-view /
Es gibt Anweisungen zum REGSVR zum Internet Explorer.

0
T.Todua