जब टीएलएस 1.2 सक्षम है तो इंटरनेट एक्सप्लोरर 11 HTTPS साइटों से कनेक्ट करने में असमर्थ क्यों है?


15

आम तौर पर मैं इंटरनेट एक्सप्लोरर का उपयोग बिल्कुल नहीं करता। मैं इसका उपयोग केवल इंटरफ़ेस परीक्षणों (विकास मशीन और अनएन्क्रिप्टेड http के साथ) के लिए डिज़ाइन समय में करता हूं। हर हफ्ते मैं एसएसएल लैब्स सर्वर परीक्षण चलाता हूं जो कहता है कि IE11 मेरी साइटों तक पहुंचने में सक्षम है।

आज मैंने अपनी तीसरी पार्टी सेवाओं में से एक के साथ एक समस्या की खोज की। कुछ विशेष फ़ंक्शन क्रोम या फ़ायरफ़ॉक्स के साथ काम नहीं कर रहा है इसलिए मैंने अपने विंडोज 7 मशीन पर IE11 लॉन्च किया। और IE11 मुझे एक अंतर्निहित त्रुटि पेज चुड़ैल दिखाता है जो मूल रूप से केवल कहता है "पृष्ठ को दिखाया नहीं जा सकता है"। और ठेठ डमी ब्ला ब्ला जैसे डीएनएस और इतने पर जांच करें। संपूर्ण त्रुटि पृष्ठ (जैसे सामान्य ब्राउज़र करेगा) पर एन्क्रिप्शन से संबंधित समस्या का कोई संकेत नहीं था।

कुछ महीने पीछे यह schannelमुद्दा था जो TLS1.2 को सक्षम करता है, जिससे IE को HTTPS साइटों तक पहुंचने में सक्षम बनाया गया है। उस समय से आईई के लिए मेरे "डब्ल्यूटीएफ चेकलिस्ट" में एक चेकपॉइंट के रूप में "अक्षम टीएलएस 1.2" शामिल है। और मुझे क्या कहना चाहिए ... IE काम करने के भीतर TLS1.2 को अक्षम करना और मेरी साइट फिर से उपलब्ध है । लेकिन मैं अपने विज़िटर ब्राउज़रों पर ऐसा नहीं कर सकता।

अब असली सवालों के लिए: क्यों टीएलएस 1.2 IE के भीतर सक्षम होने पर इंटरनेट एक्सप्लोरर 11 मेरी HTTPS साइट से कनेक्ट करने में असमर्थ है ? और इसे सर्वर साइड पर कैसे ठीक किया जाए? एसएसएल लैब्स बता रहा है कि मेरी साइट पर सब कुछ ठीक है

इम्पोरेंट एडिट: ऐसा लगता है कि IE11 केवल गैर-उपसर्ग डोमेन को संभाल सकता है और न कि उपसर्गित डोमेन को TLS1.2 के सक्षम होने पर। प्रीफ़िक्स (www) के बिना डोमेन काम करता है जबकि प्रीफ़िक्स (www) सहित डोमेन काम नहीं करेगा

सर्वर की तरफ मैं डेबियन / 7 नगनेक्स / 1.7.8 ओपनसेल / डायने का उपयोग कर रहा हूं

उपलब्ध सिफर हैं: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA


3
मैं संबंधित हो सकता हूं या नहीं: आपके प्रमाणपत्र में डुप्लिकेट SAN प्रविष्टियां ssl.dev5media.de के लिए हैं। शायद IE11 बदमाशों के बारे में? इसके अलावा CN ssl.dev5media.de है, अर्थात ssl उपसर्ग है और आपके द्वारा वर्णित कोई भी उपसर्ग नहीं है।
स्टेफेन यूरिच

उस ओर इशारा करने के लिए धन्यवाद, @SteffenUllrich। कुछ हफ़्ते पहले मेरे अंतिम प्रमाणपत्र रोटेशन से पहले सीएन उपसर्ग के बिना था। मैं सवाल के भीतर सीएन हिस्सा निकाल दूंगा। लेकिन वैसे भी ... यह तब काम कर रहा है जब TLS1.2 अक्षम है। प्रमाणपत्र सत्यापन एक साझा लाइब्रेरी में नहीं होना चाहिए और एन्क्रिप्शन विधि कार्यान्वयन (TLS1.0, TLS1.1, TLS1.2) के भीतर नहीं होना चाहिए?
बर्नर

1
साइट www.dev5media.deIE11 पर मेरे लिए काम करती है, टीएलएस 1.2 के साथ Win7 और TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 पैकेज कैप्चर के अनुसार सिफर है । आप किस ओएस का उपयोग करते हैं और क्या आप अंतर देखने के लिए काम करने वाले और गैर-काम करने वाले दोनों के लिए एक पैकेट कैप्चर कर सकते हैं?
स्टेफेन उलरिच

@SteffenUllrich: मैं Wireshark विशेषज्ञ नहीं हूं, लेकिन मुझे ऐसा लगता है कि www.dev5media.de हैंडशेक (साथ TLS_DHE_RSA_WITH_AES_128_GCM_SHA256) सफलतापूर्वक किया जाता है। लेकिन Server Hello Doneक्लाइंट से सर्वर तक कोई संचार नहीं है।
बर्नर्स

2
Fwiw, मैंने विंडोज 8.1 पर IE11 (11.0.9600.17690) के साथ कोशिश की और जेनेरिक "यह पृष्ठ प्रदर्शित नहीं किया जा सकता" दोनों के लिए त्रुटि हुई https://dev5media.de/और https://www.dev5media.de/, इसलिए किसी तरह मुझे अधिक सुसंगत परिणाम मिला।
हाकन लिंडक्विस्ट

जवाबों:


5

क्या आपके पास भी SSL 2.0 सक्षम है?

Http://support.microsoft.com/en-us/kb/2851628 के अनुसार "एसएसएल 2.0 और टीएलएस 1.2 विंडोज 7 और बाद में ऑपरेटिंग सिस्टम में एक दूसरे के साथ संगत नहीं हैं। HTTPS कनेक्शन स्थापित करने के लिए क्लाइंट-साइड प्रमाणपत्र का उपयोग करें। TLS 1.2 से अधिक, आपको SSL 2.0 को अक्षम करना होगा "।


3

Win 7 पर IE11 के साथ आज इस मुद्दे पर भाग गया (पूरी तरह से महत्वपूर्ण अपडेट के साथ अपडेट किया गया, लेकिन वैकल्पिक नहीं), मोज़िला के मध्यवर्ती सूट का उपयोग करते समय , जो XP पर IE8 के साथ ठीक काम करता है और IE7 + के साथ काम करने वाला है। सोचा था कि मैं यहाँ पोस्ट करूंगा यह मुद्दा Google पर बहुत अधिक नहीं है।

तारों के साथ कुछ समय बिताएं ताकि यह काम करने के लिए आवश्यक न्यूनतम संशोधन का पता लगा सके। अस्वीकरण: मैं एक क्रिप्टो विशेषज्ञ नहीं हूं, ऐसा करने का एक बेहतर तरीका हो सकता है। लेकिन इसने मेरी ssllabs.com रेटिंग को बिल्कुल नहीं बदला।

ECDHE-RSA-AES128-SHA256 (पहले वाला जो IE11 के लिए काम करता है) को kEDH + AESGCM और DHE-RSA-AES128-GCM-SHA256 के ऊपर ले जाएं, जिसके परिणामस्वरूप मध्यवर्ती सुइट:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

उत्तर को स्वीकार किया जाना चाहिए। सूची में पहले स्थान पर रहने के लिए बस ECDHE-RSA-AES128-GCM-SHA256 को स्थानांतरित करें। मुझे k8s में nginx-ingress में समान समस्या थी और cofigmap में बदल गया: ssl-ciphers: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GC5 ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-आरएसए-CHACHA20-POLY1305: ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-आरएसए-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256 ssl-प्रोटोकॉल: TLSv1.3 TLSv1.2
denis111

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.