O Internet Explorer se recusa a conectar-se a sites com certificados SSL não confiáveis

3

O IE começou a exibir um comportamento estranho. Temos vários nós (roteadores) de intranet configurados para usar HTTPS para acesso, mas que possuem certificados não confiáveis / auto-assinados neles. Em algum ponto não identificável no passado recente, não houve problemas na conexão com esses dispositivos. Isso não é mais verdade. Quando você tenta se conectar, e escolha a opção 3 ("para se conectar ao site de qualquer maneira") o IE volta imediatamente com uma tela "Conexão Indisponível". Isso ocorre no IE8 e agora (ugh) ie9.

O Firefox não tem problemas para se conectar a esses locais, o que indica que não é um problema de pilha TCP. O Google Chrome não consegue se conectar; mas o Google Chrome falha em muitas coisas.

Nós tentamos adicioná-los como sites confiáveis. Nenhuma diferença.

Claramente, existe uma configuração obscura ou a MS saiu com um patch que quebra as coisas. Alguma idéia?

    
por Nick2253 17.01.2012 / 22:22

3 respostas

3

Este problema é causado por uma atualização de ms muito recente: kb2585542

Existe um fixit associado ao ms12-006 que permite desativar parte da atualização. Os problemas são descritos no link

Especificamente, o Microsoft Fix it 50824 precisa ser aplicado. Você então precisa atualizar ie para usar somente ssl3 e tls1.2 e para nossos sistemas isso corrigiu o problema

    
por 19.01.2012 / 16:58
0

Verifique a seção de certificados em seus navegadores. Se houver certificados desses dispositivos, exclua-os, limpe o cache do navegador e reinicie o navegador.

Meus HP ILOs faziam isso algumas vezes com os certificados auto-assinados. Depois de aceitar o certificado, ele é instalado, mas da próxima vez que você se conectar, ficará confuso por algum motivo. Pelo menos FF e IE costumavam ficar confusos.

    
por 18.01.2012 / 02:08
0

Se você tiver mais do que apenas alguns desses servidores, provavelmente vale a pena ter uma pequena Autoridade de Certificação interna:

  • Crie uma CA pequena, em particular seu próprio certificado de CA + sua chave privada.
  • Emita certificados usando essa CA para cada um de seus servidores internos (e configure-os nesse servidor).
  • Importou o certificado de CA como um certificado confiável em suas máquinas de intranet.

Dessa forma, você não terá que lidar com exceções toda vez que adicionar um novo servidor na sua intranet. Se você é novo nisso, pode ser um pouco incômodo, mas é a maneira mais limpa de fazê-lo.

Existem ferramentas para ajudar você a configurar uma CA. Dependendo do tamanho, algo como CA minúsculo pode ser suficiente. Você pode encontrar outras sugestões nas respostas a essa pergunta: link

Verifique se os nomes de host nos certificados emitidos estão em uma entrada DNS de Nome alternativo para o assunto e (apenas no caso) no RDN CN do Nome distinto do assunto.

    
por 18.01.2012 / 03:05