Internet Explorer kann keine Seite von Apache mit einem einzelnen virtuellen SSL-Host anzeigen

10

Ich habe eine Frage, die irgendwie in verschiedenen Fragen aufgetaucht ist, aber ich kann immer noch keine Lösung finden.

Mein Problem ist, dass ich eine Site auf Apache 2.4 unter Debian mit SSL und Internet Explorer 7 unter Windows XP hoste

Internet Explorer cannot display the webpage

Ich habe nur EINEN virtuellen Host, der SSL verwendet, aber VERSCHIEDENE virtuelle Hosts, die http verwenden. Hier ist meine Konfiguration für die Site mit aktiviertem SSL (etc / sites-avaible / default-ssl ist NICHT verknüpft)

<Virtualhost xx.yyy.86.193:443>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
  Alias /files "/var/local/www/my-certified-domain.de/current/files"

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  <Directory "/var/local/www/my-certified-domain.de/current/www">
    AllowOverride All
  </Directory>

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
  SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
  SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

  SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca

  BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>

<VirtualHost *:80>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>

Meine ports.conf sieht folgendermaßen aus:

NameVirtualHost *:80
Listen 80

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

<IfModule mod_gnutls.c>
    Listen 443
</IfModule>

Die Ausgabe von apache2ctl -Sist wie folgt:

xx.yyy.86.193:443      www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80                   is a NameVirtualHost
         default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
         port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
         port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)

Ich habe die Lösung für diese Frage beigefügt: Der Internet Explorer kann die Seite nicht anzeigen, andere Browser können dies, möglicherweise htaccess / server error

Und ich verstehe die Antwort aus dieser Frage:

Wie richte ich Apache NameVirtualHost unter SSL ein?

In fakt: Ich habe nur ein SSL-Zertifikat für die Domain. Und ich möchte nur EINEN virtuellen Host mit ssl ausführen. Ich möchte also nur die eine IP für den virtuellen SSL-Host verwenden. Der Internet Explorer zeigt die Seite jedoch immer noch nicht an (nach dem Neustart / Neustart / Testen).

Wenn ich auch den Apachectl-S interpretiere, habe ich bereits nur einen SSL-Host und dieser sollte auf den ersten SSH-Handshake reagieren, nicht wahr?

Was ist in diesem Setup falsch?

Vielen Dank Philipp

Update: Funktioniert in allen anderen Browsern. Ich habe mit Wireshark debuggt und der Server sendet eine Warnung, um zu benachrichtigen, dass die Verbindung geschlossen ist. Aber ich kann das Problem nicht in den Protokollen sehen

pscheit
quelle
2
Was wird in den Protokollen des Servers protokolliert? Auch ... ernsthaft? IE unter XP wird immer schlimmer werden, immer schlimmer mit der Zeit. Es hat sein Lebensende überschritten und wird nicht mehr unterstützt. Sie sollten wahrscheinlich nicht viel Zeit damit verbringen.
Michael Hampton
Funktioniert es in jedem Browser? Ich bekomme NXDOMAIN, wenn ich versuche, darauf zuzugreifen.
Kasperd
Es funktioniert mit allen anderen Browsern. Die Protokolle zeigen NICHTS (ich habe jede Protokolldatei doppelt überprüft und versucht, die
Ausführlichkeit

Antworten:

2

Funktioniert es in anderen Browsern, zum Beispiel Firefox unter WinXP, IE7 unter Vista / 7/8, IE8 +, iOS, Android?

Wenn ja, dann vermuten Sie, dass Ihre Cipher Suite zu restriktiv / modern ist, um IE7 / XP zuzulassen. Erzwingen Sie entweder Ihre Benutzerbasis, um ihren Browser / Betriebssystem zu aktualisieren, oder konfigurieren Sie Ihre SSLCipherSuite neu:

Siehe https://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites

Siehe auch diesen möglichen WinXP-Fehler / KB-Hotfix: http://support.microsoft.com/kb/2541763/en-us

Vielleicht versuchen Sie:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4

(fand das oben auf https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )

Joshua Huber
quelle
Das Ändern der Chiffriersuite hilft nicht. Ich untersuche, ob die Installation eines Service Packs dieses Problem beheben kann. Aber mein Kunde hat Kunden, die kein Upgrade durchführen können ...
pscheit
Angenommen, Ihr Host ist über das Internet erreichbar, führen Sie Qualys SSL Labs - SSL Server Test für Ihren Server aus. ssllabs.com/ssltest Bevor Sie mit dem Scan beginnen, aktivieren Sie das Kontrollkästchen auf dieser Site mit der Aufschrift "Ergebnisse nicht auf den Boards anzeigen ", wenn Sie nicht möchten, dass Ihr Scan veröffentlicht wird. Der Scan dauert ein oder zwei Minuten, zeigt jedoch die Verhandlungsergebnisse einer Vielzahl von Webclients an. Interessiert zu sehen, was es für IE7 sagt.
Joshua Huber
Ergebnis ist: IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11also KEIN SNI ist natürlich wahr. FS scheint ebenfalls nicht relevant zu sein (nur eine nette Sicherheitsfunktion, wenn ich es richtig verstehe).
Fall