Internet Explorer non può visualizzare la pagina da Apache con un singolo host virtuale SSL

10

Ho una domanda che è emersa in qualche modo in diverse domande, ma non riesco ancora a trovare la soluzione.

Il mio problema è che sto ospitando un sito su Apache 2.4 su Debian con SSL e Internet Explorer 7 su Windows XP spettacoli 

Internet Explorer cannot display the webpage

Ho solo UN host virtuale che utilizza SSL, ma DIVERSI host virtuali che utilizzano http. Ecco la mia configurazione per il sito con SSL abilitato (etc / sites-avaible / default-ssl NON è collegato)

<Virtualhost xx.yyy.86.193:443>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
  Alias /files "/var/local/www/my-certified-domain.de/current/files"

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  <Directory "/var/local/www/my-certified-domain.de/current/www">
    AllowOverride All
  </Directory>

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
  SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
  SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

  SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca

  BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>

<VirtualHost *:80>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>

il mio porti.conf assomiglia a questo:

NameVirtualHost *:80
Listen 80

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

<IfModule mod_gnutls.c>
    Listen 443
</IfModule>

l'output da apache2ctl -Sè così:

xx.yyy.86.193:443      www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80                   is a NameVirtualHost
         default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
         port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
         port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)

Ho incluso la soluzione per questa domanda: Internet Explorer non può visualizzare la pagina, altri browser possono, eventualmente errore htaccess / server

E capisco la risposta da questa domanda:

Come configurare Apache NameVirtualHost su SSL?

In verità: ho solo un certificato SSL per il dominio. E voglio solo eseguire UN host virtuale con ssl. Quindi voglio solo usare un ip per l'host virtuale ssl. Ma ancora (dopo il riavvio / riavvio / test) Internet Explorer non mostrerà ancora la pagina.

Quando interpreto anche l'apachectl -S, ho già un solo host SSL e questo dovrebbe rispondere alla stretta di mano SSH iniziale, non è vero?

Cosa c'è di sbagliato in questa configurazione?

Grazie mille Philipp

Aggiornamento: funziona su tutti gli altri browser. Ho eseguito il debug con WireShark e il server invia un avviso per avvisare che la connessione è chiusa. Ma non riesco a vedere il problema nei registri

apache-2.2  ssl  internet-explorer 
pscheit
fonte
2
Quindi cosa viene registrato nei registri del server? Also..ṡeriously? IE su XP continuerà a fallire, sempre più male col passare del tempo. Ha superato la fine della sua vita e non è più supportato. Probabilmente non dovresti dedicare molto tempo a questo.
Michael Hampton,
Funziona con qualsiasi browser? Ottengo NXDOMAIN, quando provo ad accedervi.
Kasperd,
funziona con tutti gli altri browser. I registri mostrano NIENTE (ho ricontrollato ogni file di registro e ho cercato di aumentare verbose)
pscheit

Risposte:

2

Funziona su altri browser, ad esempio Firefox su WinXP, IE7 su Vista / 7/8, IE8 +, iOS, Android?

Se sì, sospetti che la tua suite di cifratura potrebbe essere troppo restrittiva / moderna per consentire IE7 / XP. O imponi alla tua base di utenti di aggiornare il proprio browser / sistema operativo o riconfigurare la tua SSLCipherSuite:

Vedi https://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites

Vedi anche questo possibile aggiornamento rapido bug / KB WinXP: http://support.microsoft.com/kb/2541763/en-us

Forse prova:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4

(trovato quanto sopra su https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )

Joshua Huber
fonte
cambiare la ciphersuite non aiuta. Sto indagando se l'installazione di un service pack risolverà questo problema. Ma il mio cliente ha client che non sono in grado di aggiornare ...
pscheit
Supponendo che il tuo host sia raggiungibile in Internet, prova a eseguire Qualys SSL Labs - Test del server SSL sul tuo server. ssllabs.com/ssltest Prima di iniziare la scansione, assicurati di selezionare la casella su quel sito che dice "Non mostrare i risultati sulle bacheche" se non vuoi che la tua scansione sia pubblicata. La scansione richiederà un minuto o due, ma mostrerà i risultati della negoziazione di un'ampia varietà di client Web. Interessato a vedere cosa dice IE7.
Joshua Huber,
Il risultato è: IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11quindi NO SNI è ovviamente vero. Anche FS sembra non essere rilevante (solo una bella funzionalità di sicurezza, se ho capito bene). Comunque questo è un ottimo test, grazie per il link
pscheit
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.