Warum werden auf verschiedenen Websites unterschiedliche SSL-Zertifikate für verschiedene Browser bereitgestellt? [geschlossen]

8

Das SSL - Zertifikat auf menswearireland.comund www.menswearireland.comfunktioniert auf Safari, Chrome, SeaMonkey, K-Meleon, QtWeb, Firefox und Opera. Internet Explorer behauptet jedoch, dass ein Fehler vorliegt:

Das auf dieser Website vorgelegte Sicherheitszertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt. Das von dieser Website vorgelegte Sicherheitszertifikat wurde für die Adresse einer anderen Website ausgestellt.

Probleme mit Sicherheitszertifikaten können auf einen Versuch hinweisen, Sie zu täuschen oder Daten abzufangen, die Sie an den Server senden.

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)

Eine andere Site, die auf demselben verwalteten Server gehostet wird, weist keine Fehler auf: achill-fieldschool.comund www.achill-fieldschool.comfunktioniert im IE einwandfrei, obwohl das Zertifikat, soweit ich das beurteilen kann, identisch eingerichtet ist.

Was mache ich falsch?

Dies ist ein LAMPP-Server, auf dem Plesk ausgeführt wird.

Es sieht so aus, als würde der Server verschiedenen Clients unterschiedliche Zertifikate anzeigen. Für einige Clients wird ein RapidSSL-Zertifikat www.menswearireland.commit menswearireland.comeinem gültigen alternativen Namen angezeigt . Für andere Clients wird ein Parallels Panel-Zertifikat angezeigt, das für ausgestellt wurde Parallels Panel. Hier sind die Ergebnisse einiger verschiedener Online-SSL-Prüfer: Die meisten sagen, dass dies in Ordnung ist, während zwei Fehler anzeigen.

Drei Online-Prüfer sagen, dass es gültig ist

Comodo SSL Check zeigt an, dass es gültig ist

Comodo SSL Check zeigt an, dass es gültig ist

DigiCert SSL Check zeigt an, dass es gültig ist

DigiCert SSL Check zeigt an, dass es gültig ist

SSL Shopper SSL Check zeigt an, dass es gültig ist

SSL Shopper SSL Check zeigt an, dass es gültig ist

Allgemeiner Name: www.menswearireland.com
SANs: www.menswearireland.com, menswearireland.com
Gültig vom 2. Oktober 2012 bis 4. November 2013
Seriennummer: 559425 (0x88941)
Signaturalgorithmus: sha1WithRSAEncryption Aussteller
: RapidSSL CA.

Ein anderer Online-Prüfer scheint ein völlig anderes Zertifikat zu sehen

GeoCerts SSL Check zeigt an, dass es ungültig ist

GeoCerts SSL Check zeigt an, dass es ungültig ist

Allgemeiner Name: Parallels Panel
Organisation: Parallels
Gültig vom 15. August 2012 bis 15. August 2013
Emittent: Parallels Panel

Ein anderer Online-Prüfer sieht mehr als ein Zertifikat

Symantic SSL Check zeigt an, dass es ungültig ist

Symantic SSL Check zeigt an, dass es ungültig ist

Der Zertifikatsinstallationsprüfer hat eine Verbindung zum Webserver hergestellt und seine Zertifikate gelesen, konnte jedoch nicht feststellen, welches das primäre Zertifikat für den Webserver ist.

Übrigens wird auf beiden menswearireland.comund achill-fieldschool.comder Homepage von HTTPS zu HTTP umgeleitet. Um SSL-Details anzuzeigen, besuchen Sie die Seite /accountauf beiden (diese Seite wird von HTTP zu HTTPS umgeleitet).


Ich habe weitere Informationen in einem detaillierteren Online-SSL-Checker gefunden.

https://www.ssllabs.com/ssltest/analyze.html?d=menswearireland.com

Diese Site funktioniert nur in Browsern mit SNI-Unterstützung

Meines Wissens nach ist SNI (RFC 6066) eine Methode, um viele SSL-Sites auf eine gemeinsame IP-Adresse und einen gemeinsamen Port zu setzen. Dies funktioniert unter Internet Explorer unter älteren Windows-Versionen nicht (dies hat mit der Windows-Version zu tun, nicht mit der Version von Internet Explorer). Alle unsere SSL-Sites haben jedoch eine eindeutige IP-Adresse, sodass wir keine SNI benötigen sollten.

TRiG
quelle
Ich würde vermuten, dass Sie Parallels verwenden? Klingt so, als ob das selbstsignierte Parallels Panel-Zertifikat diese Domäne stört und möglicherweise auf derselben IP installiert ist?
TheCleaner

Antworten:

7

Es stellt sich also heraus, dass es in Plesk 11.0 nicht ausreicht, ein SSL-Zertifikat mit einer Website unter einer dedizierten IP-Adresse zuzuweisen. Sie müssen auch zur Liste der IP-Adressen gehen (Serververwaltung> Tools und Einstellungen> Tools & Ressourcen> IP-Adressen) und die "Standard-Site" für jede IP-Adresse als Site an dieser Adresse festlegen.

Wenn Sie dies nicht tun, stellt Plesk das Zertifikat auf eine Weise bereit, die SNI erfordert, wodurch die Vorteile vermieden werden, dass jede gesicherte Site in erster Linie einer dedizierten IP-Adresse zugeordnet wird.

Sie können dort auch das SSL-Zertifikat festlegen, dies ist jedoch nicht erforderlich. Dies scheint verwirrender als nötig zu sein.

TRiG
quelle
Ich bin froh, dass du das gelöst hast. Bitte markieren Sie Ihre Antwort als akzeptiert, wenn Sie dazu in der Lage sind.
Jscott
Sobald ich dies gelesen habe, war es vermutlich SNI-bezogen, da der IE es nicht unterstützt, wenn alle anderen Browser dies tun.
Mark Henderson
Und das ist in Plesk 12 immer noch der Fall. Ihre Antwort hat mir gerade den Tag gerettet!
John
4

Beim Zugriff auf die Website https://www.menswearireland.com über mein Firmen-LAN (Firewall-Proxy und alle) wurde ein SSL-Fehler angezeigt:

VERIFY DENY: depth=0, (18) self signed certificate: "Parallels Panel"
VERIFY DENY: depth=0, CommonName "Parallels Panel" does not match         
URL "www.menswearireland.com"

Dies würde bedeuten, dass das Zertifikat anscheinend ein selbstsigniertes Zertifikat ist und dass dies für Internet Explorer ein großes NEIN ist.

John aka hot2use
quelle
Es gibt ein RapidSSL-Zertifikat, das in allen anderen Browsern einwandfrei funktioniert und im SSL-Checker angezeigt wird. Warum um alles in der Welt wird IE und Ihnen ein anderes Zertifikat zugestellt?
TRiG
Ich habe die Frage mit einigen zusätzlichen Informationen aktualisiert. Ich bin jetzt sehr verwirrt.
TRiG
@ TRiG wäre ich auch. Also werden beide Sites auf derselben LAMP-Instanz gehostet? Oder sind das zwei verschiedene physische / virtuelle Server?
John aka hot2use
@TRiG Ich erhalte zwei verschiedene IP-Adressen für die beiden Domänen, aber das kann sein, dass Ihr LAMP-Server den Anruf für beide IP-Adressen entgegennimmt.
John aka hot2use
@TRiG Als ich über HTTPS / SSL auf die neu erwähnte Website www.achill-fieldschool.com zugegriffen habe, habe ich überhaupt keine Antwort erhalten. Die Website wurde ohne HTTPS / SSL angezeigt.
John aka hot2use
2

Ich weiß, dass dies ein alter Thread ist, aber er hat mir geholfen, ein ähnliches Problem zu lösen. Ich habe festgestellt, dass es sich im Gegensatz zu SNI um IPv6 handelt. Es stellt sich heraus, dass Verizon Wireless und andere ISPs zunehmend IPv6 anstelle von IPv4 verwenden. Es war ein frustrierendes Problem, da die einzige Gemeinsamkeit, die ich finden konnte, darin bestand, dass die Mehrheit meiner Kunden, die das Problem hatten, Verizon verwendeten, aber nicht alle Verizon LTE-Verbindungen IPv6 verwendeten, sodass einige ordnungsgemäß funktionierten. In meinem Fall musste ich das Zertifikat der IPv6-Adresse auf meinem Plesk-Server sowie der IPv4-Adresse zuweisen, und das Problem wurde behoben.

Stoli
quelle