Warum kann Internet Explorer 11 keine Verbindung zu HTTPS-Sites herstellen, wenn TLS 1.2 aktiviert ist?

15

Normalerweise benutze ich den Internet Explorer überhaupt nicht. Ich benutze es nur in der Entwurfszeit für Schnittstellentests (Entwicklungsmaschine und mit unverschlüsseltem http). Jede Woche führe ich den SSL Labs-Servertest durch, der besagt, dass IE11 auf meine Websites zugreifen kann.

Heute habe ich ein Problem mit einem meiner Drittanbieter-Dienste entdeckt. Einige Sonderfunktionen funktionieren nicht mit Chrome oder Firefox, daher habe ich IE11 auf meinem Windows 7-Computer gestartet. Und IE11 zeigt mir eine eingebaute Fehlerseite, die im Grunde nur sagt "die Seite konnte nicht angezeigt werden". Und der typische Dummy bla bla wie das DNS überprüfen und so weiter. Es gab absolut keine Anzeichen für ein Verschlüsselungsproblem auf der gesamten Fehlerseite (wie es ein normaler Browser tun würde).

schannelVor ein paar Monaten gab es dieses Problem, das verhindert, dass IEs mit TLS1.2 auf HTTPS-Sites zugreifen können. Ab diesem Zeitpunkt enthält meine "WTF-Checkliste für IE" "TLS1.2 deaktivieren" als Checkpunkt. Und was soll ich sagen ... das Deaktivieren von TLS1.2 im IE hat funktioniert und meine Site ist wieder verfügbar . Auf den Browsern meiner Besucher kann ich dies jedoch nicht tun.

Nun zu den eigentlichen Fragen: Warum kann Internet Explorer 11 keine Verbindung zu meiner HTTPS-Site herstellen, wenn TLS 1.2 im IE aktiviert ist? Und wie kann man das auf der Serverseite beheben? SSL Labs sagt, dass auf meiner Website alles in Ordnung ist .

Wichtige Bearbeitung: Es scheint, dass IE11 nur die Nicht-Präfix-Domäne und nicht die Präfix-Domänen verarbeiten kann, wenn TLS1.2 aktiviert ist. Domain ohne Präfix (www) funktioniert, während Domain mit Präfix (www) nicht funktioniert .

Auf der Serverseite verwende ich debian / 7 nginx / 1.7.8 openssl / 1.0.1e

Verfügbare Chiffren sind: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

nginx ssl openssl internet-explorer tls Brennerkopf
quelle
3
Ich könnte verwandt sein oder nicht: Ihr Zertifikat enthält doppelte SAN-Einträge für ssl.dev5media.de. Vielleicht krächzt IE11 darüber? Ansonsten ist der CN ssl.dev5media.de, dh er hat das von Ihnen beschriebene ssl-Präfix und kein Präfix.
Steffen Ullrich
Vielen Dank für den Hinweis, @SteffenUllrich. CN hatte vor meinem letzten Zertifikatswechsel vor ein paar Wochen kein Präfix. Ich werde den CN-Teil innerhalb der Frage entfernen. Aber trotzdem ... es funktioniert, wenn TLS1.2 deaktiviert ist. Sollte sich die Zertifikatvalidierung nicht in einer gemeinsam genutzten Bibliothek befinden und nicht innerhalb der Implementierungen der Verschlüsselungsmethoden (TLS1.0, TLS1.1, TLS1.2)?
Burnersk
1
Die Seite www.dev5media.defunktioniert bei mir auf IE11, Win7 mit TLS 1.2 und Chiffre TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 laut einer Paketerfassung . Welches Betriebssystem verwenden Sie und können Sie eine Paketerfassung für den aktiven und den nicht aktiven Namen durchführen, um den Unterschied zu erkennen?
Steffen Ullrich
@SteffenUllrich: Ich bin kein Wireshark-Experte, aber ich sehe so aus, als ob der www.dev5media.de-Handshake (mit TLS_DHE_RSA_WITH_AES_128_GCM_SHA256) erfolgreich durchgeführt wurde. Aber nachdem Server Hello Donees keine Kommunikation vom Client zum Server gibt.
Burnersk
2
Fwiw, ich habe es mit IE11 (11.0.9600.17690) unter Windows 8.1 versucht und für beide https://dev5media.de/und den generischen Fehler "Diese Seite kann nicht angezeigt werden" erhalten https://www.dev5media.de/, so dass ich irgendwie ein konsistenteres Ergebnis habe.
Håkan Lindqvist

Antworten:

5

Haben Sie auch SSL 2.0 aktiviert?

Laut http://support.microsoft.com/en-us/kb/2851628 "sind SSL 2.0 und TLS 1.2 unter Windows 7 und neueren Betriebssystemen nicht miteinander kompatibel. Verwenden von clientseitigen Zertifikaten zum Herstellen einer HTTPS-Verbindung über TLS 1.2 müssen Sie SSL 2.0 deaktivieren ".

John Ball
quelle
3

Stieß heute mit IE11 auf Win 7 auf dieses Problem (vollständig aktualisiert mit wichtigen, aber nicht optionalen Updates), wenn Mozillas Intermediate-Suite verwendet wurde , die mit IE8 auf XP einwandfrei funktioniert und mit IE7 + funktionieren soll. Ich dachte, ich würde hier posten, aber dieses Problem taucht sonst bei Google nicht auf.

Verbrachte einige Zeit mit Wireshark, um die minimale Änderung herauszufinden, die erforderlich ist, damit es funktioniert. Haftungsausschluss: Ich bin kein Krypto-Experte. Es gibt einen besseren Weg, dies zu tun. Aber es hat meine Bewertung von ssllabs.com überhaupt nicht geändert.

Bewegen Sie ECDHE-RSA-AES128-SHA256 (das erste, das für IE11 funktioniert) nach oben über kEDH + AESGCM und DHE-RSA-AES128-GCM-SHA256.

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
Aaron-Bru
quelle