Perché il sito offre certificati SSL diversi a browser diversi? [chiuso]


8

Il certificato SSL on menswearireland.come on www.menswearireland.comfunziona perfettamente su Safari, Chrome, SeaMonkey, K-Meleon, QtWeb, Firefox e Opera. Tuttavia, Internet Explorer afferma che si è verificato un errore:

Il certificato di sicurezza presentato da questo sito Web non è stato emesso da un'autorità di certificazione attendibile. Il certificato di sicurezza presentato da questo sito Web è stato emesso per l'indirizzo di un sito Web diverso.

I problemi con il certificato di sicurezza possono indicare un tentativo di ingannare o intercettare qualsiasi dato inviato al server.

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)

Un altro sito ospitato sullo stesso server gestito non mostra errori: achill-fieldschool.come www.achill-fieldschool.comfunziona bene su IE, anche se per quanto posso dire il certificato è impostato in modo identico.

Che cosa sto facendo di sbagliato?

Questo è un server LAMPP che esegue Plesk.

Sembra che il server mostri certificati diversi a client diversi. Ad alcuni client mostra un certificato RapidSSL compilato www.menswearireland.comcon menswearireland.comun nome alternativo valido. Ad altri client, mostra un certificato di Parallels Panel, rilasciato a Parallels Panel. Ecco i risultati di alcuni diversi controllori SSL online: molti dicono che va bene, mentre due mostrano errori.

Tre pedine online dicono che è valido

Comodo SSL Check lo mostra come valido

Comodo SSL Check lo mostra come valido

DigiCert SSL Check lo mostra come valido

DigiCert SSL Check lo mostra come valido

SSL Shopper SSL Check lo mostra come valido

SSL Shopper SSL Check lo mostra come valido

Nome comune: www.menswearireland.com
SAN: www.menswearireland.com, menswearireland.com
Valido dal 2 ottobre 2012 al 4 novembre 2013
Numero di serie: 559425 (0x88941)
Algoritmo di firma: sha1WithRSAEncryption
Emittente: RapidSSL CA

Un altro correttore online sembra vedere un certificato completamente diverso

GeoCerts SSL Check lo mostra come non valido

GeoCerts SSL Check lo mostra come non valido

Nome comune: Parallels Panel
Organizzazione: Parallels
Valido dal 15 agosto 2012 al 15 agosto 2013
Emittente: Parallels Panel

Un altro correttore online vede più di un certificato

Symantic SSL Check lo mostra come non valido

Symantic SSL Check lo mostra come non valido

Il controllo dell'installazione del certificato si è collegato al server Web e ha letto i suoi certificati, ma non è stato in grado di determinare quale sia il certificato principale per il server Web.

Per inciso, su entrambi menswearireland.come achill-fieldschool.comsulla homepage verrà reindirizzato da HTTPS a HTTP. Per visualizzare i dettagli SSL, visita la pagina /accountsu entrambi (quella pagina reindirizzerà da HTTP a HTTPS).


Ho trovato maggiori informazioni in un correttore SSL online più dettagliato.

https://www.ssllabs.com/ssltest/analyze.html?d=menswearireland.com

Questo sito funziona solo nei browser con supporto SNI

La mia comprensione è che SNI (RFC 6066) è un metodo per mettere molti siti SSL su un indirizzo IP e una porta condivisi. Questo non funziona su Internet Explorer su versioni precedenti di Windows (ciò ha a che fare con la versione di Windows, non con la versione di Internet Explorer). Tuttavia, tutti i nostri siti SSL si trovano su un indirizzo IP univoco, quindi non dovremmo aver bisogno di SNI.


Immagino tu stia usando Parallels? Sembra che il certificato autofirmato di Parallels Panel installato stia interferendo con quel dominio, eventualmente installato sullo stesso IP?
TheCleaner,

Risposte:


7

Quindi risulta che in Plesk 11.0 non è sufficiente assegnare un certificato SSL con un sito Web su un indirizzo IP dedicato. Devi anche andare all'elenco degli indirizzi IP (Gestione server> Strumenti e impostazioni> Strumenti e risorse> Indirizzi IP) e impostare il "Sito predefinito" per ciascun indirizzo IP come sito su quell'indirizzo.

Se non lo fai, Plesk serve il certificato in un modo che richiede SNI, il che piuttosto ovvia ai vantaggi di mettere ogni sito protetto su un indirizzo IP dedicato in primo luogo.

Puoi anche impostare il certificato SSL lì, ma non è necessario. Questo sembra essere più confuso del necessario.


Sono contento che tu l'abbia risolto. Assicurati di contrassegnare la tua risposta come accettata quando puoi.
jscott,

Non appena ho letto questo, immagino che fosse relativo a SNI, dato che IE non lo supporta quando lo fanno tutti gli altri browser.
Mark Henderson,

E questo è ancora il caso di Plesk 12. La tua risposta mi ha appena salvato la giornata!
Giovanni

4

Quando ho effettuato l'accesso al sito Web https://www.menswearireland.com dalla LAN della mia azienda (proxy firewall e tutti) ho ricevuto un errore SSL:

VERIFY DENY: depth=0, (18) self signed certificate: "Parallels Panel"
VERIFY DENY: depth=0, CommonName "Parallels Panel" does not match         
URL "www.menswearireland.com"

Ciò significherebbe che il certificato è apparentemente un certificato autofirmato e questo è un grande NO GO per Internet Explorer.


C'è un avviso RapidSSL su questo, che funziona bene su tutti gli altri browser e si presenta sul Controllo SSL. Allora perché sulla Terra viene servito un certificato diverso per IE e per te?
TRiG

Ho aggiornato la domanda con alcune informazioni extra. Sono molto confuso ora.
TRiG

@TRiG Lo sarei anche io. Quindi entrambi i siti sono ospitati sulla stessa istanza LAMP? O sono questi due diversi server fisici / virtuali?
John aka hot2use,

@TRiG Ottengo due indirizzi IP diversi per i due domini, ma potrebbe essere che il tuo server LAMP raccolga la chiamata su entrambi gli indirizzi IP.
John aka hot2use,

@TRiG Quando ho effettuato l'accesso al sito appena menzionato www.achill-fieldschool.com tramite HTTPS / SSL, non ho ricevuto alcuna risposta. Il sito Web è stato visualizzato senza HTTPS / SSL.
John aka hot2use,

2

So che questo è un vecchio thread, ma mi ha aiutato a risolvere un problema simile. Ho determinato che si trattava di IPv6 rispetto a SNI. Si scopre che Verizon Wireless e altri ISP utilizzano sempre più IPv6 anziché IPv4. È stato un problema frustrante perché l'unica cosa comune che potevo escogitare era che la maggior parte dei miei clienti che stavano riscontrando il problema utilizzava Verizon, ma non tutte le connessioni Verizon LTE utilizzano IPv6, quindi alcune hanno funzionato correttamente. Nel mio caso, dovevo assegnare il certificato all'indirizzo IPv6 sul mio server Plesk e all'indirizzo IPv4 e il problema è stato risolto.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.