服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 为什么启用TLS 1.2时Internet Explorer 11无法连接到HTTPS站点?
Intereting Posts
如何使用IPv6configurationIIS 我如何(或者是否可取)将Redhat Enterprise从5.9降级到5.8,并找出原始升级发生的时间? Haproxyparsing器不能更新健康检查失败的DNS 为什么我的文件夹共享的Windows Server 2012“服务器”服务器崩溃? Teamspeak 3服务器Segfaults在Ubuntu 14.04 x64上 如何取消阻止鱿鱼代理服务器的网站 如何在SSL中logging无效的客户端SSL证书 如果我知道进程的PID号码,我可以知道它的名字吗? RHEL 6.3升级OpenSSH和Apache 什么硬件使得一个好的MongoDB服务器? 在哪里得到它? 服务器CPU和内存运行在100%以上 – Plesk ForEach循环导出到CSV文件 nginx上游和fail_timeout 为什么我的btrfs / dm-crypt RAID1设置太慢? Nginx php-fpm在高stream量网站上摆脱502错误

为什么启用TLS 1.2时Internet Explorer 11无法连接到HTTPS站点?

通常我根本不使用Internet Explorer。 我只在devise时使用它来进行接口testing(开发机器和未encryption的http)。 每周我都运行SSL实验室服务器testing,IE11能够访问我的网站。

今天,我发现我的第三方服务有问题。 某些特殊function不适用于Chrome或Firefox,因此我在Windows 7机器上启动了IE11。 而IE11显示我内置的错误页面女巫基本上只是说“页面不能显示”。 而典型的虚拟的bla bla像检查DNS等等。 整个错误页面上绝对没有encryption相关问题的迹象(就像普通浏览器所做的那样)。

回过头几个月,有一个schannel问题,阻止启用TLS1.2的IE访问HTTPS站点。 从那个时候,我的“IE浏览器的WTF清单”包含“禁用TLS1.2”作为检查点。 我应该怎么说… 禁用IE中的TLS1.2工作,我的网站再次可用 。 但是我不能在访问者浏览器上做到这一点。

现在到真正的问题: 为什么IE浏览器启用TLS 1.2时,Internet Explorer 11无法连接到我的HTTPS站点 ? 以及如何解决它在服务器端? SSL实验室告诉我,我的网站上一切正常 。

重要编辑:似乎IE11只能处理非前缀域,而不是TLS1.2启用时的前缀域。 没有前缀(www)的 域名 工作,而包含前缀(www)的域名不起作用 。

在服务器端我使用的是debian / 7 nginx / 1.7.8 openssl / 1.0.1e

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

    你是否也启用了SSL 2.0?

    根据http://support.microsoft.com/en-us/kb/2851628 “在Windows 7及更高版本的操作系统中,SSL 2.0和TLS 1.2不兼容。要使用客户端证书build立HTTPS连接通过TLS 1.2,您必须禁用SSL 2.0“。

    今天在Win 7上使用IE11(完全更新了重要的更新,但不是可选的),当使用Mozilla的中级套件 ,它能与XP上的IE8正常工作,并应该与IE7 +一起工作。 以为我会在这里发布是这个问题不会在谷歌上出现多less。

    花了一些时间与wireshark搞清楚所需的最低限度的修改,使其工作。 免责声明:我不是一个encryption专家,可能有更好的方法来做到这一点。 但它并没有改变我的ssllabs.com评级。

    将ECDHE-RSA-AES128-SHA256(第一个适用于IE11的)移动到kEDH + AESGCM和DHE-RSA-AES128-GCM-SHA256以上, 

     ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

    我find的唯一解决scheme : http : //www.techsupportall.com/solved-cannot-access-secure-sites-https-websites-not-opening-view/
    有指示如何REGSVR到Internet Explorer。