J'ai une question qui a été soulevée d'une manière ou d'une autre dans différentes questions, mais je ne trouve toujours pas la solution.
Mon problème est que j'héberge un site sur Apache 2.4 sur Debian avec SSL et Internet Explorer 7 sur Windows XP.
Internet Explorer cannot display the webpage
Je n'ai qu'un seul hôte virtuel qui utilise SSL, mais DIFFÉRENTS hôtes virtuels qui utilisent http. Voici ma configuration pour le site avec SSL activé (etc / sites-avaible / default-ssl n'est PAS lié)
<Virtualhost xx.yyy.86.193:443>
ServerName www.my-certified-domain.de
ServerAlias my-certified-domain.de
DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
Alias /files "/var/local/www/my-certified-domain.de/current/files"
CustomLog /var/log/apache2/access.my-certified-domain.de.log combined
<Directory "/var/local/www/my-certified-domain.de/current/www">
AllowOverride All
</Directory>
SSLEngine on
SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca
BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>
<VirtualHost *:80>
ServerName www.my-certified-domain.de
ServerAlias my-certified-domain.de
CustomLog /var/log/apache2/access.my-certified-domain.de.log combined
Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>
mon ports.conf ressemble à ceci:
NameVirtualHost *:80
Listen 80
<IfModule mod_ssl.c>
# If you add NameVirtualHost *:443 here, you will also have to change
# the VirtualHost statement in /etc/apache2/sites-available/default-ssl
# to <VirtualHost *:443>
# Server Name Indication for SSL named virtual hosts is currently not
# supported by MSIE on Windows XP.
Listen 443
</IfModule>
<IfModule mod_gnutls.c>
Listen 443
</IfModule>
la sortie de apache2ctl -S
est comme ceci:
xx.yyy.86.193:443 www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80 is a NameVirtualHost
default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)
J'ai inclus la solution à cette question: Internet Explorer ne peut pas afficher la page, d'autres navigateurs peuvent, peut-être une erreur htaccess / server
Et je comprends la réponse de cette question:
Comment configurer Apache NameVirtualHost sur SSL?
En fakt: je n'ai qu'un seul certificat SSL pour le domaine. Et je veux seulement exécuter UN hôte virtuel avec SSL. Donc, je veux juste utiliser la seule adresse IP pour l'hôte virtuel SSL. Mais toujours (après le redémarrage / redémarrage / test) Internet Explorer n'affiche toujours pas la page.
Lorsque j'interprète également l'apachectl -S, je n'ai déjà qu'un seul hôte SSL et cela devrait répondre à la poignée de main SSH initiale, n'est-ce pas?
Quel est le problème dans cette configuration?
Merci beaucoup Philipp
Mise à jour: fonctionne dans tous les autres navigateurs. J'ai débogué avec Wireshark et le serveur envoie une alerte pour notifier que la connexion est fermée. Mais je ne vois pas le problème dans les journaux
la source
NXDOMAIN
, quand j'essaye d'y accéder.Réponses:
Fonctionne-t-il sur d'autres navigateurs, par exemple Firefox sur WinXP, IE7 sur Vista / 7/8, IE8 +, iOS, Android?
Si oui, alors soupçonnez que votre suite de chiffrement pourrait être trop restrictive / moderne pour permettre IE7 / XP. Soit forcez votre base d'utilisateurs à mettre à niveau leur navigateur / OS ou reconfigurez votre SSLCipherSuite:
Voir https://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites
Consultez également ce correctif de bogue / KB WinXP possible: http://support.microsoft.com/kb/2541763/en-us
Essayez peut-être:
(trouvé ce qui précède sur https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )
la source
IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11
donc AUCUN SNI n'est bien sûr vrai. FS ne semble pas non plus pertinent (juste une bonne fonctionnalité de sécurité, si je comprends bien). Quoi qu'il en soit, c'est un très bon test, merci pour le lien