Pourquoi Internet Explorer 11 ne parvient-il pas à se connecter aux sites HTTPS lorsque TLS 1.2 est activé?

15

Normalement, je n'utilise pas du tout Internet Explorer. Je l'utilise uniquement au moment du design pour les tests d'interface (machine de développement et avec http non chiffré). Chaque semaine, je lance le test du serveur SSL Labs qui dit qu'IE11 est capable d'accéder à mes sites.

Aujourd'hui, j'ai découvert un problème avec l'un de mes services tiers. Certaines fonctions spéciales ne fonctionnent pas avec Chrome ou Firefox, j'ai donc lancé IE11 sur ma machine Windows 7. Et IE11 me montre une page d'erreur intégrée qui dit simplement que "la page n'a pas pu être affichée". Et le bla bla factice typique comme vérifier le DNS et ainsi de suite. Il n'y avait absolument aucun signe d'un problème lié au cryptage sur toute la page d'erreur (comme le ferait un navigateur normal).

Il y a quelques mois, il y avait ce schannelproblème qui empêche les IE activés par TLS1.2 d'accéder aux sites HTTPS. À partir de ce moment, ma "liste de contrôle WTF pour IE" contient "désactiver TLS1.2" comme point de contrôle. Et que dois-je dire ... la désactivation de TLS1.2 dans IE a fonctionné et mon site est à nouveau disponible . Mais je ne peux pas le faire sur les navigateurs de mes visiteurs.

Passons maintenant aux vraies questions: pourquoi Internet Explorer 11 ne parvient-il pas à se connecter à mon site HTTPS lorsque TLS 1.2 est activé dans IE? Et comment le réparer côté serveur? SSL Labs dit que tout va bien sur mon site .

Imporant Edit: Il semble qu'IE11 ne peut gérer que le domaine non préfixé et non les domaines préfixés lorsque TLS1.2 est activé. le domaine sans préfixe (www) fonctionne tandis que le domaine avec préfixe (www) ne fonctionne pas .

Côté serveur, j'utilise debian / 7 nginx / 1.7.8 openssl / 1.0.1e

Les chiffres disponibles sont: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

burnersk
la source
3
Je suis peut-être lié ou non: votre certificat contient des entrées SAN en double pour ssl.dev5media.de. Peut-être que IE11 coasse à ce sujet? En dehors de cela, le CN est ssl.dev5media.de, c'est-à-dire a le préfixe ssl et non pas de préfixe comme vous le décrivez.
Steffen Ullrich
Merci de l'avoir signalé, @SteffenUllrich. Le CN était sans préfixe avant ma dernière rotation de certificat il y a quelques semaines. Je vais supprimer la partie CN de la question. Mais de toute façon ... cela fonctionne quand TLS1.2 est désactivé. La validation du certificat ne devrait-elle pas se trouver dans une bibliothèque partagée et non dans les implémentations des méthodes de chiffrement (TLS1.0, TLS1.1, TLS1.2)?
burnersk
1
Le site www.dev5media.defonctionne pour moi sur IE11, Win7 avec TLS 1.2 et le chiffrement TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 selon une capture de package. Quel système d'exploitation utilisez-vous et pouvez-vous effectuer une capture de paquets pour le nom actif et le nom non fonctionnel pour voir la différence?
Steffen Ullrich
@SteffenUllrich: Je ne suis pas un expert de Wireshark mais il me semble que la prise de contact www.dev5media.de (avec TLS_DHE_RSA_WITH_AES_128_GCM_SHA256) a réussi. Mais après Server Hello Doneil n'y a pas de communication du client au serveur.
burnersk
2
Fwiw, j'ai essayé avec IE11 (11.0.9600.17690) sur Windows 8.1 et j'ai obtenu l'erreur générique "Cette page ne peut pas être affichée" pour les deux https://dev5media.de/et https://www.dev5media.de/, donc j'ai obtenu un résultat plus cohérent.
Håkan Lindqvist

Réponses:

5

Avez-vous également activé SSL 2.0?

Selon http://support.microsoft.com/en-us/kb/2851628 "SSL 2.0 et TLS 1.2 ne sont pas compatibles entre eux dans Windows 7 et les systèmes d'exploitation ultérieurs. Pour utiliser des certificats côté client pour établir une connexion HTTPS sur TLS 1.2, vous devez désactiver SSL 2.0 ".

John Ball
la source
3

Ran dans ce problème aujourd'hui avec IE11 sur Win 7 (entièrement mis à jour avec des mises à jour importantes, mais pas facultatives), lors de l'utilisation de la suite intermédiaire de Mozilla , qui fonctionne bien avec IE8 sur XP et est censé fonctionner avec IE7 +. Je pensais que je publierais ici, ce problème ne se présente pas beaucoup sur Google.

J'ai passé un peu de temps avec Wirehark à déterminer la modification minimale requise pour le faire fonctionner. Avertissement: je ne suis pas un expert en cryptographie, il pourrait y avoir une meilleure façon de le faire. Mais cela n'a pas du tout changé ma note ssllabs.com.

Déplacez ECDHE-RSA-AES128-SHA256 (le premier qui fonctionne pour IE11) au-dessus de kEDH + AESGCM et DHE-RSA-AES128-GCM-SHA256, pour la suite intermédiaire résultant en:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
aaron-bru
la source