Internet Explorer ne peut pas afficher la page d'Apache avec un seul hôte virtuel SSL

10

J'ai une question qui a été soulevée d'une manière ou d'une autre dans différentes questions, mais je ne trouve toujours pas la solution.

Mon problème est que j'héberge un site sur Apache 2.4 sur Debian avec SSL et Internet Explorer 7 sur Windows XP.

Internet Explorer cannot display the webpage

Je n'ai qu'un seul hôte virtuel qui utilise SSL, mais DIFFÉRENTS hôtes virtuels qui utilisent http. Voici ma configuration pour le site avec SSL activé (etc / sites-avaible / default-ssl n'est PAS lié)

<Virtualhost xx.yyy.86.193:443>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
  Alias /files "/var/local/www/my-certified-domain.de/current/files"

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  <Directory "/var/local/www/my-certified-domain.de/current/www">
    AllowOverride All
  </Directory>

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
  SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
  SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

  SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca

  BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>

<VirtualHost *:80>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>

mon ports.conf ressemble à ceci:

NameVirtualHost *:80
Listen 80

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

<IfModule mod_gnutls.c>
    Listen 443
</IfModule>

la sortie de apache2ctl -Sest comme ceci:

xx.yyy.86.193:443      www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80                   is a NameVirtualHost
         default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
         port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
         port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)

J'ai inclus la solution à cette question: Internet Explorer ne peut pas afficher la page, d'autres navigateurs peuvent, peut-être une erreur htaccess / server

Et je comprends la réponse de cette question:

Comment configurer Apache NameVirtualHost sur SSL?

En fakt: je n'ai qu'un seul certificat SSL pour le domaine. Et je veux seulement exécuter UN hôte virtuel avec SSL. Donc, je veux juste utiliser la seule adresse IP pour l'hôte virtuel SSL. Mais toujours (après le redémarrage / redémarrage / test) Internet Explorer n'affiche toujours pas la page.

Lorsque j'interprète également l'apachectl -S, je n'ai déjà qu'un seul hôte SSL et cela devrait répondre à la poignée de main SSH initiale, n'est-ce pas?

Quel est le problème dans cette configuration?

Merci beaucoup Philipp

Mise à jour: fonctionne dans tous les autres navigateurs. J'ai débogué avec Wireshark et le serveur envoie une alerte pour notifier que la connexion est fermée. Mais je ne vois pas le problème dans les journaux

pscheit
la source
2
Alors, qu'est-ce qui est enregistré dans les journaux du serveur? Aussi ... sérieusement? IE sur XP va continuer à échouer, de plus en plus mal avec le temps. Il a dépassé sa fin de vie et n'est plus pris en charge. Vous ne devriez probablement pas y consacrer beaucoup de temps.
Michael Hampton
Cela fonctionne-t-il dans n'importe quel navigateur? J'obtiens NXDOMAIN, quand j'essaye d'y accéder.
kasperd
cela fonctionne avec tous les autres navigateurs. Les journaux ne montrent RIEN (j'ai revérifié chaque fichier journal et essayé d'augmenter le verbeux)
pscheit

Réponses:

2

Fonctionne-t-il sur d'autres navigateurs, par exemple Firefox sur WinXP, IE7 sur Vista / 7/8, IE8 +, iOS, Android?

Si oui, alors soupçonnez que votre suite de chiffrement pourrait être trop restrictive / moderne pour permettre IE7 / XP. Soit forcez votre base d'utilisateurs à mettre à niveau leur navigateur / OS ou reconfigurez votre SSLCipherSuite:

Voir https://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites

Consultez également ce correctif de bogue / KB WinXP possible: http://support.microsoft.com/kb/2541763/en-us

Essayez peut-être:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4

(trouvé ce qui précède sur https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )

Joshua Huber
la source
changer la ciphersuite n'aide pas. J'étudie si l'installation d'un service pack résoudra ce problème. Mais mon client a des clients qui ne peuvent pas mettre à niveau ...
pscheit
En supposant que votre hôte est accessible sur Internet, essayez d'exécuter Qualys SSL Labs - SSL Server Test sur votre serveur. ssllabs.com/ssltest Avant de commencer l'analyse, assurez-vous de cocher la case sur ce site qui dit "Ne pas afficher les résultats sur les tableaux" si vous ne voulez pas que votre analyse soit publiée. L'analyse prendra une minute ou deux, mais montrera les résultats de la négociation d'une grande variété de clients Web. Intéressé de voir ce qu'il dit pour IE7.
Joshua Huber
Le résultat est: IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11donc AUCUN SNI n'est bien sûr vrai. FS ne semble pas non plus pertinent (juste une bonne fonctionnalité de sécurité, si je comprends bien). Quoi qu'il en soit, c'est un très bon test, merci pour le lien
pscheit