Por que o Internet Explorer 11 não consegue se conectar a sites HTTPS quando o TLS 1.2 está ativado?

15

Normalmente, não uso o Internet Explorer. Eu o uso apenas em tempo de design para testes de interface (máquina de desenvolvimento e com http não criptografado). Toda semana eu executo o teste do servidor SSL Labs, que diz que o IE11 é capaz de acessar meus sites.

Hoje descobri um problema com um dos meus serviços de terceiros. Alguma função especial não está funcionando com o Chrome ou Firefox, então lancei o IE11 na minha máquina com Windows 7. E o IE11 me mostra uma página de erro embutida que basicamente diz apenas que "a página não pode ser mostrada". E o típico dummy bla bla como verificar o DNS e assim por diante. Não havia absolutamente nenhum sinal de um problema relacionado à criptografia em toda a página de erro (como faria o navegador normal).

Voltar alguns meses atrás houve esse problema schannel que impede que os IEs habilitados para TLS1.2 acessem sites HTTPS. A partir desse momento, minha "lista de verificação WTF para o IE" contém "desabilitar TLS1.2" como um ponto de verificação. E o que devo dizer ... desabilitar o TLS1.2 no IE funcionou e meu site está disponível novamente . Mas não posso fazer isso nos navegadores dos meus visitantes.

Agora, para as perguntas reais: Por que o Internet Explorer 11 não consegue se conectar ao meu site HTTPS quando o TLS 1.2 está ativado no IE? E como consertá-lo no lado do servidor? SSL Labs está dizendo que está tudo bem meu site .

Imporant Edit: Parece que o IE11 pode manipular apenas o domínio sem prefixo e não os domínios prefixados quando o TLS1.2 está ativado. domínio sem prefixo (www) funciona enquanto domínio incluindo prefixo (www) não funcionará .

No lado do servidor, estou usando o debian / 7 nginx / 1.7.8 openssl / 1.0.1e

As cifras disponíveis são: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

    
por burnersk 22.03.2015 / 10:45

3 respostas

5

Você também tem o SSL 2.0 ativado?

De acordo com o link "o SSL 2.0 e o TLS 1.2 não são compatíveis entre si no Windows 7 e sistemas operacionais posteriores.Para usar certificados do lado do cliente para estabelecer uma conexão HTTPS por TLS 1.2, você deve desativar o SSL 2.0 ".

    
por 30.03.2015 / 13:50
3

Corri para este problema hoje com o IE11 no Win 7 (totalmente atualizado com atualizações importantes, mas não opcionais), ao usar Suíte Intermediate da Mozilla , que funciona bem com o IE8 no XP e deve funcionar com o IE7 +. Pensei que eu iria postar aqui é esta questão não aparece muito mais no google.

Passamos algum tempo com a wireshark descobrindo a modificação mínima necessária para fazê-la funcionar. Disclaimer: Eu não sou um especialista em criptografia, poderia haver uma maneira melhor de fazer isso. Mas isso não mudou minha classificação no ssllabs.com.

Mova o ECDHE-RSA-AES128-SHA256 (o primeiro que funciona para o IE11) acima de kEDH + AESGCM e DHE-RSA-AES128-GCM-SHA256, para o conjunto intermediário, resultando em:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
    
por 22.08.2015 / 02:27
0

A única solução que encontrei: link
Há instruções sobre como REGSVR para o Internet Explorer.

    
por 21.05.2015 / 19:10