Internet Explorer no puede mostrar la página de Apache con un solo host virtual SSL

10

Tengo una pregunta que surgió de alguna manera en diferentes preguntas, pero aún no puedo encontrar la solución.

Mi problema es que estoy alojando un sitio en Apache 2.4 en Debian con SSL e Internet Explorer 7 en Windows XP muestra 

Internet Explorer cannot display the webpage

Solo tengo UN host virtual que usa ssl, pero DIFERENTES hosts virtuales que usan http. Aquí está mi configuración para el sitio con SSL habilitado (etc / sites-avaible / default-ssl NO está vinculado)

<Virtualhost xx.yyy.86.193:443>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
  Alias /files "/var/local/www/my-certified-domain.de/current/files"

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  <Directory "/var/local/www/my-certified-domain.de/current/www">
    AllowOverride All
  </Directory>

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
  SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
  SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

  SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca

  BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>

<VirtualHost *:80>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>

mi ports.conf se ve así:

NameVirtualHost *:80
Listen 80

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

<IfModule mod_gnutls.c>
    Listen 443
</IfModule>

la salida de apache2ctl -Ses así:

xx.yyy.86.193:443      www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80                   is a NameVirtualHost
         default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
         port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
         port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)

Incluí la solución para esta pregunta: Internet Explorer no puede mostrar la página, otros navegadores pueden, posiblemente htaccess / server error

Y entiendo la respuesta de esta pregunta:

¿Cómo configurar Apache NameVirtualHost en SSL?

En fakt: solo tengo un certificado ssl para el dominio. Y solo quiero ejecutar UN host virtual con ssl. Así que solo quiero usar una ip para el host virtual SSL. Pero aún así (después de reiniciar / reiniciar / probar) Internet Explorer aún no mostrará la página.

Cuando interpreto el apachectl -S también, ya tengo solo un host SSL y esto debería responder al apretón de manos SSH inicial, ¿no?

¿Qué hay de malo en esta configuración?

Muchas gracias Philipp

Actualización: funciona en todos los demás navegadores. Lo depuré con wireshark y el servidor envía una alerta para notificar que la conexión está cerrada. Pero no puedo ver el problema en los registros.

apache-2.2  ssl  internet-explorer 
pscheit
fuente
2
Entonces, ¿qué se registra en los registros del servidor? Además ... ¿en serio? IE on XP seguirá fallando, cada vez más a medida que pase el tiempo. Ha pasado el final de su vida y ya no es compatible. Probablemente no deberías pasar mucho tiempo en esto.
Michael Hampton
¿Funciona en cualquier navegador? Lo consigo NXDOMAIN, cuando intento acceder a él.
kasperd
funciona con todos los demás navegadores. Los registros muestran NADA (verifiqué dos veces cada archivo de registro e intenté aumentar el
detalle

Respuestas:

2

¿Funciona en otros navegadores, por ejemplo, Firefox en WinXP, IE7 en Vista / 7/8, IE8 +, iOS, Android?

En caso afirmativo, sospecha que su conjunto de cifrado podría ser demasiado restrictivo / moderno para permitir IE7 / XP. O bien obligue a su base de usuarios a actualizar su navegador / SO o reconfigure su SSLCipherSuite:

Ver https://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites

También vea este posible error de WinXP / revisión de KB: http://support.microsoft.com/kb/2541763/en-us

Quizás intente:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4

(se encuentra lo anterior en https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )

Joshua Huber
fuente
Cambiar el cifrado no ayuda. Estoy investigando si la instalación de un paquete de servicio solucionará este problema. Pero mi cliente tiene clientes que no pueden actualizar ...
pscheit
Suponiendo que su host es accesible por Internet, intente ejecutar Qualys SSL Labs - Prueba de servidor SSL en su servidor. ssllabs.com/ssltest Antes de comenzar el escaneo, asegúrese de marcar la casilla en ese sitio que dice "No mostrar los resultados en los tableros" si no desea que se publique su escaneo. El escaneo tomará uno o dos minutos, pero mostrará los resultados de la negociación de una amplia variedad de clientes web. Interesado en ver lo que dice para IE7.
Joshua Huber
El resultado es: IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11entonces NO SNI es, por supuesto, cierto. FS parece no ser relevante también (solo es bueno tener una característica de seguridad, si lo hago bien). De todos modos, esta es una muy buena prueba, gracias por el enlace
pscheit
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.