web-dev-qa-db-fra.com

Pourquoi Internet Explorer 11 ne parvient-il pas à se connecter aux sites HTTPS lorsque TLS 1.2 est activé?

Normalement, je n'utilise pas du tout Internet Explorer. Je l'utilise uniquement au moment du design pour les tests d'interface (machine de développement et avec http non chiffré). Chaque semaine, je lance le test du serveur SSL Labs qui dit qu'IE11 est capable d'accéder à mes sites.

Aujourd'hui, j'ai découvert un problème avec l'un de mes services tiers. Certaines fonctions spéciales ne fonctionnent pas avec Chrome ou Firefox, j'ai donc lancé IE11 sur ma machine Windows 7. Et IE11 me montre une page d'erreur intégrée qui dit simplement que "la page n'a pas pu être affichée". Et le bla bla factice typique comme vérifier le DNS et ainsi de suite. Il n'y avait absolument aucun signe d'un problème lié au cryptage sur toute la page d'erreur (comme le ferait un navigateur normal).

Il y a quelques mois, il y avait ce problème de schannel qui empêchait les IE activés par TLS1.2 d'accéder aux sites HTTPS. À partir de ce moment, ma "liste de contrôle WTF pour IE" contient "désactiver TLS1.2" comme point de contrôle. Et que dois-je dire ... la désactivation de TLS1.2 dans IE a fonctionné et mon site est à nouveau disponible . Mais Je ne peux pas le faire sur le navigateur de mes visiteurs.

Maintenant aux vraies questions: Pourquoi Pourquoi Internet Explorer 11 est-il incapable de se connecter à mon site HTTPS lorsque TLS 1.2 est activé dans IE? Et comment le réparer côté serveur? SSL Labs dit que tout va bien sur mon site .

Imporant Edit: Il semble qu'IE11 ne peut gérer que le domaine non préfixé et non les domaines préfixés lorsque TLS1.2 est activé. le domaine sans préfixe (www) fonctionne tandis que le domaine incluant le préfixe (www) ne fonctionnera pas .

Côté serveur, j'utilise debian/7 nginx/1.7.8 openssl/1.0.1e

Les chiffres disponibles sont: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

nginxsslopensslinternet-explorertls
15
burnersk

Avez-vous également activé SSL 2.0?

Selon http://support.Microsoft.com/en-us/kb/2851628 "SSL 2.0 et TLS 1.2 ne sont pas compatibles entre eux dans Windows 7 et les systèmes d'exploitation ultérieurs. Pour utiliser le client- certificats secondaires pour établir une connexion HTTPS sur TLS 1.2, vous devez désactiver SSL 2.0 ".

5
John Ball

Ran dans ce problème aujourd'hui avec IE11 sur Win 7 (entièrement mis à jour avec des mises à jour importantes, mais pas facultatives), lors de l'utilisation suite intermédiaire de Mozilla , qui fonctionne bien avec IE8 sur XP et est supposé pour travailler avec IE7 +. Je pensais que je publierais ici, ce problème ne se présente pas beaucoup sur Google.

J'ai passé un peu de temps avec Wirehark à déterminer la modification minimale requise pour le faire fonctionner. Avertissement: je ne suis pas un expert en cryptographie, il pourrait y avoir une meilleure façon de le faire. Mais cela n'a pas du tout changé ma note ssllabs.com.

Déplacez ECDHE-RSA-AES128-SHA256 (le premier qui fonctionne pour IE11) au-dessus de kEDH + AESGCM et DHE-RSA-AES128-GCM-SHA256, pour la suite intermédiaire résultant en:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
3
aaron-bru

La seule solution que j'ai trouvée: http://www.techsupportall.com/solved-cannot-access-secure-sites-https -websites-not-Opening-View /
Il y a des instructions pour REGSVR vers Internet Explorer.

0
T.Todua