Ich habe eine Frage, die irgendwie in verschiedenen Fragen aufgetaucht ist, aber ich kann immer noch keine Lösung finden.
Mein Problem ist, dass ich eine Site auf Apache 2.4 unter Debian mit SSL und Internet Explorer 7 unter Windows XP hoste
Internet Explorer cannot display the webpage
Ich habe nur EINEN virtuellen Host, der SSL verwendet, aber VERSCHIEDENE virtuelle Hosts, die http verwenden. Hier ist meine Konfiguration für die Site mit aktiviertem SSL (etc / sites-avaible / default-ssl ist NICHT verknüpft)
<Virtualhost xx.yyy.86.193:443>
ServerName www.my-certified-domain.de
ServerAlias my-certified-domain.de
DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
Alias /files "/var/local/www/my-certified-domain.de/current/files"
CustomLog /var/log/apache2/access.my-certified-domain.de.log combined
<Directory "/var/local/www/my-certified-domain.de/current/www">
AllowOverride All
</Directory>
SSLEngine on
SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca
BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>
<VirtualHost *:80>
ServerName www.my-certified-domain.de
ServerAlias my-certified-domain.de
CustomLog /var/log/apache2/access.my-certified-domain.de.log combined
Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>
Meine ports.conf sieht folgendermaßen aus:
NameVirtualHost *:80
Listen 80
<IfModule mod_ssl.c>
# If you add NameVirtualHost *:443 here, you will also have to change
# the VirtualHost statement in /etc/apache2/sites-available/default-ssl
# to <VirtualHost *:443>
# Server Name Indication for SSL named virtual hosts is currently not
# supported by MSIE on Windows XP.
Listen 443
</IfModule>
<IfModule mod_gnutls.c>
Listen 443
</IfModule>
Die Ausgabe von apache2ctl -S
ist wie folgt:
xx.yyy.86.193:443 www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80 is a NameVirtualHost
default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)
Ich habe die Lösung für diese Frage beigefügt: Der Internet Explorer kann die Seite nicht anzeigen, andere Browser können dies, möglicherweise htaccess / server error
Und ich verstehe die Antwort aus dieser Frage:
Wie richte ich Apache NameVirtualHost unter SSL ein?
In fakt: Ich habe nur ein SSL-Zertifikat für die Domain. Und ich möchte nur EINEN virtuellen Host mit ssl ausführen. Ich möchte also nur die eine IP für den virtuellen SSL-Host verwenden. Der Internet Explorer zeigt die Seite jedoch immer noch nicht an (nach dem Neustart / Neustart / Testen).
Wenn ich auch den Apachectl-S interpretiere, habe ich bereits nur einen SSL-Host und dieser sollte auf den ersten SSH-Handshake reagieren, nicht wahr?
Was ist in diesem Setup falsch?
Vielen Dank Philipp
Update: Funktioniert in allen anderen Browsern. Ich habe mit Wireshark debuggt und der Server sendet eine Warnung, um zu benachrichtigen, dass die Verbindung geschlossen ist. Aber ich kann das Problem nicht in den Protokollen sehen
quelle
NXDOMAIN
, wenn ich versuche, darauf zuzugreifen.Antworten:
Funktioniert es in anderen Browsern, zum Beispiel Firefox unter WinXP, IE7 unter Vista / 7/8, IE8 +, iOS, Android?
Wenn ja, dann vermuten Sie, dass Ihre Cipher Suite zu restriktiv / modern ist, um IE7 / XP zuzulassen. Erzwingen Sie entweder Ihre Benutzerbasis, um ihren Browser / Betriebssystem zu aktualisieren, oder konfigurieren Sie Ihre SSLCipherSuite neu:
Siehe https://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites
Siehe auch diesen möglichen WinXP-Fehler / KB-Hotfix: http://support.microsoft.com/kb/2541763/en-us
Vielleicht versuchen Sie:
(fand das oben auf https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )
quelle
IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11
also KEIN SNI ist natürlich wahr. FS scheint ebenfalls nicht relevant zu sein (nur eine nette Sicherheitsfunktion, wenn ich es richtig verstehe).